Pendahuluan
Bitslab telah mengembangkan satu set Agent Audit AI tercanggih, BitsLabAI Scanner; yang dirancang khusus untuk menganalisis dan melindungi aplikasi Web3. Baru-baru ini, kami menguji teknologi ini dalam kompetisi audit publik SuiDex, dan hasilnya sangat luar biasa. BitslabAI Scanner menggunakan pemindai berbasis AI untuk mengalahkan sebagian besar auditor dalam kompetisi audit, membantu tim kami meraih posisi kedua.
Latar Belakang
Ekosistem Web3 berkembang dengan kecepatan yang luar biasa, dan smart contract menjadi semakin kompleks. Meskipun inovasi ini sangat menarik, namun juga membawa risiko keamanan yang signifikan, terutama di ekosistem baru seperti Sui. Audit smart contract yang ditulis dengan Move adalah tugas yang sangat menantang karena, dibandingkan dengan dunia EVM, masih kurang data kerentanan historis dan alat yang matang.
Untuk mengatasi celah keamanan penting ini, Bitslab telah mengembangkan satu set Agent AI tercanggih, BitsLabAI Scanner, yang dirancang khusus untuk menganalisis dan melindungi aplikasi Web3. Baru-baru ini, kami menguji teknologi ini dalam kompetisi audit publik SuiDex, dan hasilnya sangat luar biasa. BitslaAI Scanner, dengan pemindai berbasis AI-nya, mengalahkan sebagian besar auditor dalam kompetisi audit dan membantu tim kami meraih posisi kedua. Hal ini menunjukkan kemampuan kuat BitsLabAI Scanner dalam menemukan kerentanan keamanan penting yang mungkin terlewatkan tanpa bantuan AI.
Mengapa Kami Membangun BitsLabAI Scanner yang Berorientasi Keamanan
Dunia keamanan on-chain sedang mengalami transformasi radikal yang didorong oleh AI fundamental. Meskipun model bahasa besar (LLMs) generik saat ini sudah mampu melakukan analisis awal terhadap kode smart contract, mereka sering kali kurang memiliki pemikiran khusus dan adversarial yang dibutuhkan untuk audit keamanan yang ketat. Model-model ini adalah asisten yang baik, tetapi mereka bukan auditor.
Untuk menutupi celah penting ini, kami membangun arsitektur multi-layer yang berorientasi keamanan—BitslabAI Scanner. Ini bukan model tunggal yang besar, melainkan sistem terintegrasi di mana beberapa komponen AI khusus bekerja secara kolaboratif. Setiap komponen dirancang khusus untuk tantangan tertentu dalam keamanan smart contract:
● Analisis Kode Semantik: Memahami maksud dan logika kode, tidak hanya pada tingkat sintaksis, tetapi juga tujuan bisnis dari kontrak.
● Deteksi Kerentanan: Dilatih pada dataset besar kerentanan dan anti-pattern yang diketahui, mencakup dari serangan reentrancy hingga vektor manipulasi ekonomi yang kompleks.
● Simulasi Serangan: Komponen tingkat lanjut yang mencoba secara mandiri menghasilkan dan memverifikasi jalur serangan potensial untuk memastikan apakah kerentanan teoretis benar-benar dapat dieksploitasi.
Pendekatan terintegrasi ini memungkinkan AI untuk menemukan cacat logika kompleks dan vektor serangan tersembunyi, yang sering terlewat oleh AI generik maupun audit manual. Dengan menggabungkan kecepatan dan skala AI dengan ketepatan pakar keamanan, kerangka kerja kami memberikan analisis yang lebih dalam dan komprehensif, secara proaktif melindungi aplikasi Web3 generasi baru.
Dari Konsep ke Praktik: Kekuatan Nyata BitslabAI Scanner
Kemampuan BitslabAI Scanner terletak pada kemampuannya melampaui batasan analisis statis tradisional. Ia tidak hanya memeriksa apakah kode mengandung daftar kerentanan yang diketahui, tetapi juga mensimulasikan proses berpikir seorang peneliti keamanan top. Ia tidak hanya menganalisis apa yang sebenarnya dilakukan kode, tetapi juga apa yang mungkin dipaksa dilakukan kode. Ini termasuk memahami insentif ekonomi, kasus batas potensial, dan teknik serangan baru yang hanya dapat ditemukan dengan pemikiran adversarial.
Pendekatan mendalam dan kontekstual ini adalah fondasi keberhasilan kami dalam audit SuiDex. AI tidak hanya memberikan daftar masalah potensial, tetapi juga menghasilkan insight yang dapat dieksekusi dengan prioritas, langsung mengarahkan auditor ke kerentanan paling penting. Berikut adalah kemampuan inti yang mendukung analisis ini, dilengkapi dengan contoh kasus SuiDex:
● Deteksi Kerentanan Otomatis: Memindai kontrak untuk kerentanan umum dan tidak umum, termasuk reentrancy, integer overflow, masalah kontrol akses, dan kesalahan presisi.
● Pemahaman Konteks: Menganalisis interaksi antar modul dalam kontrak serta panggilan eksternal, mengidentifikasi cacat logika yang mungkin muncul di bawah dependensi kompleks.
● Presisi dan Akurasi: Meminimalkan false positive semaksimal mungkin, sambil memastikan identifikasi risiko nyata dengan akurasi tinggi.
● Skalabilitas: Mampu mengaudit basis kode besar dan kompleks secara efisien, cocok untuk berbagai proyek blockchain.
Menghadapi Tantangan: Temuan Kunci yang Melampaui Auditor dalam Kompetisi Audit SuiDex
Dalam analisis berbasis AI terhadap protokol SuiDex, kami mencapai hasil yang sangat baik, menemukan beberapa kerentanan yang dapat membahayakan integritas platform dan dana pengguna. Pada akhirnya, kami menandai 7 kerentanan kritis dan 3 kerentanan berisiko tinggi, menunjukkan kedalaman analisis kami.
Walaupun daftar lengkap tetap dirahasiakan, beberapa kasus representatif berikut cukup untuk menunjukkan kemampuan AI:
1. Temuan Kunci: Sistem Matematika Tidak Kompatibel dalam Aritmatika Inti (SUIDEXCA-122)
● Masalah: Library matematika fixed-point protokol menggunakan dua sistem matematika yang tidak kompatibel. Pada tingkat logika, perhitungan dilakukan dengan dekomposisi biner (pangkat 2), tetapi standar presisi protokol didasarkan pada desimal (pangkat 10). Melakukan operasi biner dalam kerangka desimal seperti mencampur meter dan kaki dalam satu rumus tanpa konversi.
● Dampak: Semua operasi perkalian dan pembagian non-trivial pasti menghasilkan hasil yang tidak dapat diprediksi dan salah. Ini adalah bom waktu yang dapat meledak kapan saja, sepenuhnya merusak keandalan AMM dan menyebabkan perbedaan keuangan besar serta hilangnya kepercayaan pengguna.
Temuan ini menunjukkan bahwa AI mampu menemukan cacat matematika mendalam, bukan hanya kerentanan kode permukaan.
2. Temuan Kunci: Flag Logika Swap yang Salah
● Masalah: Fungsi kunci yang mengeksekusi pertukaran Token A → Token B memanggil library internal untuk menghitung jumlah input yang dibutuhkan, tetapi secara keliru memasukkan parameter hardcoded, sehingga library mengira sedang melakukan pertukaran arah sebaliknya (Token B → Token A).
● Dampak: Kesalahan kecil ini menyebabkan protokol salah menghitung jumlah input untuk setiap transaksi, yang dapat menyebabkan harga transaksi tidak adil atau transaksi gagal, secara serius merusak fungsi inti DEX.
Temuan ini menunjukkan kemampuan AI dalam analisis konteks lintas fungsi. Ia tidak menganalisis fungsi secara terpisah, tetapi melacak jalur eksekusi lengkap untuk mengidentifikasi kontradiksi logika utama.
3. Temuan Berisiko Tinggi: Kerentanan Pelepasan Token Tak Terbatas (SUIDEXCA-30)
● Masalah: Logika perhitungan waktu untuk token reward memiliki kesalahan kecil, gagal membatasi penerbitan sesuai rencana 3 tahun yang telah ditetapkan.
● Dampak: Protokol akan terus mencetak token baru tanpa batas waktu, jauh melebihi jadwal yang ditentukan. Ini akan sepenuhnya merusak model ekonomi token proyek, menyebabkan inflasi, menghancurkan nilai token, dan melanggar janji kepada komunitas.
Kasus ini menunjukkan bahwa AI mampu menganalisis logika bisnis dan konsekuensi ekonomi jangka panjang, sehingga menjaga integritas finansial protokol.
Laporan detail kami telah dibagikan tepat waktu kepada tim pengembang SuiDex, dan mereka telah mengonfirmasi temuan ini serta segera mengambil tindakan perbaikan.
Bukan Sekadar Juara Kedua: Nilai dan Makna di Balik BitslabAI Scanner
BitslabAI Scanner tampil luar biasa dalam kompetisi audit SuiDex, akhirnya meraih posisi kedua dan menemukan banyak kerentanan kritis dan berisiko tinggi, membuktikan kemampuannya yang canggih. Prestasi ini tidak hanya memvalidasi efektivitas BitslabAI Scanner dalam audit keamanan smart contract, tetapi juga semakin memperkuat komitmen kami untuk membangun masa depan keamanan terdesentralisasi.
Seiring ekosistem blockchain terus berkembang, kebutuhan akan solusi keamanan yang kuat dan efisien hanya akan terus meningkat, dan BitslabAI Scanner siap untuk menghadapi tantangan ini dan menyongsong masa depan.
