A Fundação Ethereum Encontra um Bug Real e Falsos Positivos em um Teste de Segurança com IA

ETH1,14%
LINK0,72%
BONK-1,58%

A Fundação Ethereum recentemente implantou agentes de IA para testar softwares de blockchain, descobrindo uma vulnerabilidade real de segurança enquanto expunha um desafio crítico de verificação. A equipe de Segurança do Protocolo encontrou um bug de verdade no gossipsub, a camada de mensagens usada pelos clientes do Ethereum, divulgado como CVE-2026-34219. O exercício revelou que agentes de IA podem gerar relatórios de vulnerabilidade convincentes para problemas inexistentes, exigindo revisores humanos para distinguir falhas reais de software de falsos positivos. O teste tinha como objetivo fortalecer a segurança do maior blockchain em valor bloqueado. A infraestrutura da Ethereum depende de milhares de nós executando software de rede, onde falhas de mensagens podem interromper validadores mesmo quando a cadeia mais ampla permanece intacta.

Fundação Ethereum Descobre Vulnerabilidade no Gossipsub por Meio de Testes com IA

O bug identificado por engenheiros estava no gossipsub, a camada de mensagens usada pelos clientes do Ethereum para distribuir informações pela rede. A falha permitia que um sistema remoto acionasse uma queda (crash) no software do nó. Quando a queda ocorria, o nó atingia um cálculo impossível, parava de executar e tirava o validador do ar até que um operador o reiniciasse.

O problema foi corrigido rapidamente e divulgado como CVE-2026-34219, com crédito dado à equipe envolvida. O bug poderia derrubar nós remotamente, afetando a disponibilidade do validador, a participação na rede e a resiliência do cliente. Para validadores, indisponibilidade se traduz em recompensas perdidas e risco operacional.

Nikos Baxevanis, autor do post da Fundação, escreveu que a surpresa foi ver como pouco do trabalho foi gasto em encontrar bugs e como muito foi gasto em diferenciar bugs reais daqueles que apenas pareciam reais. A Fundação publicou notas de campo do processo para delinear como outras equipes devem lidar com fluxos de trabalho de segurança com IA.

Agentes de IA Geram Três Categorias de Relatórios de Falso Positivo

A Fundação identificou três tipos de falsos positivos que continuavam aparecendo. O primeiro envolvia quedas que só ocorriam em builds de teste, em que verificações de segurança do compilador estavam habilitadas, mas não existiriam no software distribuído. Nesses casos, a queda reportada não afetava usuários reais.

O segundo envolvia ataques que só funcionavam se um valor perigoso fosse inserido manualmente dentro do programa. Se todas as rotas externas rejeitassem esse valor antes que ele chegasse ao caminho de código vulnerável, o ataque não poderia ser executado por um ator externo. O terceiro veio da verificação formal, em que uma prova passou ao demonstrar algo trivialmente verdadeiro, oferecendo nenhuma evidência significativa de que o software se comportava corretamente.

Em cada caso, surgia a aparência de um teste sem comprovar uma questão real de segurança. Um agente de IA produz uma narrativa, explicando como a falha poderia ser alcançada, argumentando por que isso importa, propondo uma classificação de severidade e fornecendo código funcional que parece demonstrar o ataque. O relatório pode ser lido fluentemente tanto se o bug for genuíno quanto se tiver sido inventado.

Fundação Recomenda Fluxo de Trabalho com IA para Equipes de Segurança

A Fundação Ethereum alertou que agentes são mais fortes para raciocinar sobre um único momento do que para identificar bugs que emergem ao longo de uma sequência de ações válidas. Essa fragilidade é especialmente relevante para finanças descentralizadas, onde muitos exploits são causados por uma sequência de etapas comuns dispostas em uma ordem prejudicial.

Vários ataques recentes se encaixaram nesse padrão. No exploit da Edel Finance, uma fonte de preço Chainlink precisa foi contornada pela camada de wrapping acima dela. No ataque de governança do BONK, comprar tokens, votar e executar uma proposta aprovada foram, cada um, transações normais. O exploit surgiu de como essas ações se combinaram.

O fluxo de trabalho proposto pela Fundação é usar agentes para sugerir quais sequências valem a pena testar e, em seguida, executar os testes de forma independente. Essa abordagem trata a IA como uma forma de ampliar a busca por possíveis rotas de ataque, e não como o veredito final sobre se uma vulnerabilidade existe. A principal conclusão foi que agentes de IA conseguem expandir a superfície de busca enquanto aumentam a necessidade de verificação disciplinada.

FAQ

Que vulnerabilidade a Fundação Ethereum descobriu usando agentes de IA?

A Fundação Ethereum descobriu a CVE-2026-34219, um bug no gossipsub, a camada de mensagens usada pelos clientes do Ethereum. A falha permitia que um sistema remoto acionasse uma queda no software do nó, fazendo com que o nó atingisse um cálculo impossível, parasse de executar e deixasse o validador fora do ar até que um operador o reiniciasse.

Quais tipos de falsos positivos agentes de IA produziram durante testes de segurança do Ethereum?

A Fundação identificou três tipos de falsos positivos: quedas que só ocorriam em builds de teste sem verificações de segurança do compilador presentes no software distribuído, ataques que exigiam valores perigosos inseridos manualmente que rotas externas rejeitariam, e provas de verificação formal que passavam ao mostrar algo trivialmente verdadeiro sem comprovar o comportamento correto do software.

Isenção de responsabilidade: as informações nesta página podem ter origem em fontes terceiras e servem apenas como referência. Não representam as opiniões da Gate e não constituem orientação financeira, de investimentos ou jurídica. A negociação de ativos virtuais envolve alto risco. Não tome decisões baseando-se apenas nas informações desta página. Para mais detalhes, consulte a Isenção de responsabilidade.
Comentário
0/400
Sem comentários