Mythos de Versión Pública Oficialmente Lanzado: Analizando las Ventajas y Limitaciones de la Auditoría de Contratos Inteligentes con IA
El 9 de junio, Anthropic lanzó la versión pública de Mythos, Claude Fable 5, que destaca por su capacidad para detectar vulnerabilidades de seguridad.
Un ejemplo reciente es el caso de Zcash, donde un investigador utilizó el modelo Claude Opus 4.8 para descubrir una vulnerabilidad crítica no detectada en cuatro años de auditorías manuales, lo que provocó una caída del 40% en el precio de ZEC.
La IA es cada vez más común en la auditoría de contratos inteligentes por su eficiencia en el emparejamiento de patrones de código y el cribado inicial masivo. Analizamos sus fortalezas y debilidades con casos reales y pruebas con Fable 5.
**Fortalezas de la Auditoría con IA:**
En un caso, se detectó una colisión de ranuras de almacenaje (*storage slot collision*) entre un *mapping* de recompensas personalizado y la librería Solady ReentrancyGuard. El guardia utilizaba una ranura fija para optimizar gas, que coincidía con la primera ranura del *mapping*. Esto permitía a un atacante reclamar recompensas repetidamente, drenando los fondos del contrato. La IA puede identificar instantáneamente estos conflictos de diseño que suelen pasar inadvertidos en auditorías manuales.
**Limitaciones de la Auditoría con IA:**
Al probar Fable 5 con los contratos del ataque a Curve LlamaLend sDOLA, no logró identificar el riesgo central. Este ataque explotó una vulnerabilidad de combinación entre protocolos: manipular el precio de un activo en un *pool* de liquidez para desencadenar liquidaciones en masa en otro protocolo y obtener ganancias. Este tipo de vulnerabilidades complejas, que dependen de la interacción semántica y económica entre múltiples contratos y protocolos DeFi, aún superan la capacidad de análisis de la IA.
**Conclusión:**
Fable 5 es eficaz para encontrar vulnerabilidades estandarizadas, detalladas y de lógica simple en contratos individuales. Sin embargo, su comprensión de la lógica de negocio compleja, los modelos económicos DeFi y los vectores de ataque combinados entre protocolos es limitada. En la auditoría de seguridad es crucial combinar la eficiencia de la IA con el análisis experto para lograr una cobertura integral.
marsbitHace 34 min(s)