Un agente de IA identificó una exposición potencial de 4,6 millones de dólares en vulnerabilidades de contratos inteligentes de blockchain

 (red.anthropic.com)
5 puntos por GN⁺ 2025-12-05 | 1 comentarios | Compartir por WhatsApp
  • Modelos de IA demostraron mediante simulación un potencial de pérdida de 4,6 millones de dólares al explotar vulnerabilidades reales de contratos inteligentes de blockchain
  • Los investigadores construyeron el benchmark SCONE-bench con 405 contratos que habían sido pirateados en la práctica entre 2020 y 2025 y realizaron la evaluación
  • Claude Opus 4.5, Sonnet 4.5 y GPT-5 lograron atacar con éxito 55,8% incluso en contratos posteriores al último punto de corte de conocimiento
  • Dos modelos detectaron 2 vulnerabilidades de día cero nuevas y demostraron que un ataque autónomo es técnicamente posible en entornos reales
  • Dado que la capacidad ofensiva de la IA está mejorando con rapidez, se destaca la urgencia de adoptar IA con fines defensivos

SCONE-bench: Benchmark de ataques a contratos inteligentes

  • El equipo desarrolló SCONE-bench para cuantificar el impacto económico de las vulnerabilidades de contratos inteligentes
    • Incluye 405 contratos que fueron explotados en la práctica entre 2020 y 2025
    • Recopilados de 3 blockchains como Ethereum, Binance Smart Chain y Base
    • Cada contrato es reproducible en un entorno de simulación (basado en Docker)
  • Cada agente de IA debe encontrar una vulnerabilidad y generar un script de ataque para incrementar el saldo de tokens dentro de 60 minutos
  • El benchmark también puede emplearse como herramienta de chequeo de seguridad antes del despliegue

Principales resultados de la experimentación

  • Diez modelos de IA atacaron con éxito 207 de 405 casos (51,1%), causando 550,1 millones de dólares de daño simulado
  • En la evaluación centrada solo en 34 contratos explotados desde marzo de 2025, Opus 4.5, Sonnet 4.5 y GPT-5 lograron atacar con éxito 19 (55,8%)
    • El daño total fue de 4,6 millones de dólares, y Opus 4.5 alcanzó 4,5 millones solo
  • Sonnet 4.5 y GPT-5 analizaron 2.849 contratos nuevos y encontraron 2 vulnerabilidades de día cero
    • Ganancia total de 3.694 dólares, costo de API de GPT-5 de 3.476 dólares
    • Se confirmó la rentabilidad de los ataques autónomos

Casos de vulnerabilidad

  • Vulnerabilidad #1: ausencia del modificador view en una función de solo lectura, lo que genera inflación de tokens
    • El atacante infla el saldo mediante llamadas repetidas, obteniendo alrededor de 2.500 dólares y hasta un máximo de 19.000 dólares
    • Un hacker de sombrero blanco recuperó los fondos
  • Vulnerabilidad #2: al faltar la validación del destinatario de la comisión, cualquier dirección puede retirar comisiones
    • Un atacante real sustrajo fondos por 1.000 dólares cuatro días después

Análisis de costos

  • El costo total de ejecución del agente GPT-5 fue de 3.476 dólares, con un promedio de 1,22 dólares por ejecución
  • Costo promedio por contrato vulnerable: 1.738 dólares, ingreso promedio: 1.847 dólares, utilidad neta: 109 dólares
  • El consumo de tokens se redujo 70,2% en 6 meses, con una mejora media de 23,4% en eficiencia por generación
    • Con el mismo presupuesto, es posible lograr 3,4 veces más ataques exitosos

Conclusiones e implicaciones

  • En un año, la tasa de éxito de ataque de agentes de IA pasó de 2% a 55,88%, y el daño de 5.000 dólares a 4,6 millones
  • Las ganancias de ataque se duplican cada 1,3 meses, y el costo del token cae 23% cada 2 meses
  • Se espera que el tiempo hasta que una vulnerabilidad sea explotada tras el despliegue del contrato se reduzca drásticamente
  • No solo los contratos inteligentes: todo el código de software puede convertirse en objetivo de ataques de IA
  • La misma tecnología también puede usarse como agentes de IA defensivos, y se enfatiza la necesidad de automatización de seguridad basada en IA

Lecturas relacionadas

1 comentarios

 
GN⁺ 2025-12-05
Comentarios de Hacker News

  • Nuestra startup está desarrollando agentes para pruebas de penetración
    Llevamos apostando por esta dirección desde hace más de un año, desde que los modelos empezaron a volverse buenos programando
    El salto de rendimiento de Sonnet 4 a 4.5 fue enorme, y ahora estamos probando Opus 4.5 internamente
    Esta es la primera versión de Opus que sale lo bastante barata como para usarla en producción, así que estamos saturando casi por completo los casos de prueba y rediseñando el sistema de benchmarks

    • Yo también tengo experiencia haciendo análisis estático de vulnerabilidades de seguridad en código con LLM
      Pero Anthropic tiene agarrado el núcleo de la tecnología, así que no sé si tiene sentido que yo monte una startup
      Si uno emprendiera en una situación así, me pregunto si la estrategia correcta sería crecer rápido y salir antes de que el mercado se dé cuenta
    • Esta generación de modelos (Opus 4.5, GPT 5.1, Gemini Pro 3) me parece el mayor avance desde gpt-4o
      Antes solo funcionaban bien en frameworks conocidos como Python o Next.js, pero ahora también manejan frameworks nuevos
      Resuelven por sí solos errores de lint o depuración, y además el precio ya es realista para usarlos en muchos casos
    • Me da curiosidad cómo logran guiar a un modelo de producción público hacia el desarrollo de exploits
      En mi experiencia, los resultados eran inconsistentes, y si al usuario le sale una respuesta como “no puedo ayudarte con eso”, para una startup eso sería complicado
    • Yo manejo una startup de software hotelero, así que si quieres mostrar qué tan bien funciona tu agente
      puedes buscar a rook (como la pieza de ajedrez) en hotel.com

  • Ese gráfico no se entiende para nada
    No me queda claro qué intenta decir, y la afirmación de que es “lineal” también parece poco sustentada
    La parte de “$4.6M en fondos robados simulados” me hace pensar que trabajaron sobre contratos vulnerables ya conocidos
    Por eso el titular me parece medio débil

  • Hay una parte donde el equipo de investigación aclara que no hicieron pruebas en una blockchain real
    Dicen que fue para evitar daños reales, pero igual le quita algo de fuerza
    Me hizo pensar en aquel hack de Ethereum donde “los hackers buenos robaron primero el dinero para devolverlo después”

    • La crisis del fork de Ethereum en ese momento fue realmente irónica
      Primero era “somos dinero inmutable sin bancos ni regulaciones”,
      y luego fue “hay que recuperar el dinero que perdieron las personas importantes”, así que al final actuaron como un banco
    • Puede que alguien ya esté analizando seguridad de smart contracts con IA en entornos reales
      Me imagino una estructura donde le meten poder de GPU y del otro lado salen exploits y criptomonedas
    • El artículo no explica cómo “estimaron” la cantidad de víctimas, y eso me genera dudas
      Si arreglar un bug de $3,600 cuesta $3,500 en tokens de IA, tampoco está claro quién debería pagar ese costo
      Al final se siente como un mensaje de marketing de Anthropic: algo como “cambien el mundo con nuestro modelo”
    • Si esto fuera de verdad ciberpunk, habrían vuelto al efectivo anónimo

  • Arriba del artículo aparece la frase “dos agentes encontraron vulnerabilidades zero-day y crearon un exploit valorado en $3,694”

    • Pero para que esa cifra sea realista también habría que incluir el costo laboral del personal de desarrollo
      Poner una frase así al frente de la PR fue una decisión bastante arriesgada

  • Vi el video de presentación relacionado con la competencia DARPA AIxCC,
    y viendo el nivel actual, este resultado ya no me sorprende nada

  • Alguien preguntó si podían explicarle qué es un smart contract
    Dijo que entendía la estructura de “si pasa X, entonces Y”, pero cuestionó si eso no se puede manipular según quién introduzca X

    • Un smart contract puro automatiza transacciones simples, como un intercambio de tokens
      Por ejemplo, das 100 tokens de apple y recibes 50 tokens de pear
      En formas más complejas, también puede servir para distribución de fondos basada en votación
      Pero la información del mundo externo (por ejemplo, el resultado de una elección) tiene que entrar a través de un oráculo
    • No siempre hay entradas externas
      Por ejemplo, un contrato como “si se depositan X monedas en la dirección A, entonces se entregan Y monedas desde la dirección Y”
      tiene lógica de verificación, así que aunque haya entradas, no se puede manipular arbitrariamente
      Eso sí, cuando se manejan eventos del mundo real (eventos off-chain), aparecen problemas de confianza por el tema de los oráculos
    • Un contrato desplegado una vez es código inmutable, así que antes de usarlo hay que revisar muy bien la estructura de permisos
      En casos como los contratos proxy, que pueden redirigirse a otro código, a veces se usa un timelock para generar confianza
      Los oráculos off-chain siempre exigen cierto nivel de confianza
    • La blockchain es un entorno aislado que solo conoce sus propios datos
      Para usar datos externos hace falta un oráculo,
      y en la introducción a los oráculos de Chainlink se puede aprender más en detalle
    • No deberías firmar ese tipo de contratos con gente en la que no confías
      Los estafadores pueden dejar huecos en el código para desviar fondos
      Los contratos legítimos buscan impedir ese tipo de cosas, pero los vectores de ataque son infinitos

  • La conclusión de que “la IA ya puede ejecutar exploits autónomos realmente rentables”
    no veo por qué lleva automáticamente a “hay que adoptar la IA activamente para defensa”; se siente como un salto lógico

    • Pero desde el punto de vista de los desarrolladores de smart contracts, tener una herramienta automática, barata y potente para detectar vulnerabilidades sí podría ser de gran ayuda

  • La frase “se estableció un límite inferior del daño económico”
    en el fondo parece estar hablando de eficiencia del mercado

  • En nuestro proyecto ya estamos viendo comportamientos de auto-mejora
    El siguiente paso parece conducir de forma natural a agentes con auto-mejora
    Es bastante interesante estar justo en medio de esta tendencia

  • Me causa gracia que la parte donde el equipo aclara que no probó esto en una blockchain real
    más bien parece haber servido como catalizador para empujar a la gente a una competencia por usar el modelo