这种深度、具备上下文意识的方法,是我们在SuiDex 审计中取得成功的基石。AI 不只是提供潜在问题清单,而是输出了一组有优先级的可执行洞察,直接引导审计专家找到最关键的漏洞。以下是支撑本次分析的核心能力,并辅以具体的SuiDex 案例:
● 自动化漏洞检测:扫描合约中的常见与非常见漏洞,包括重入、整数溢出、访问控制问题和精度错误。
● 上下文理解:分析合约内部不同模块之间的交互,以及外部调用,识别复杂依赖下可能出现的逻辑缺陷。
● 精确性与准确性:最大限度减少误报,同时保证对真实风险的高准确识别。
● 可扩展性:能够高效审计大型复杂代码库,适用于各类区块链项目。
直面挑战:在SuiDex 审计大赛中超越审计人员的关键发现在对SuiDex 协议的 AI 驱动分析中,我们取得了极高的效果,发现了多个可能危及平台完整性和用户资金的漏洞。最终,我们标记出了 7 个关键漏洞和3 个高危漏洞,展示了分析的深度。
虽然完整清单仍保持保密,但以下几个代表性案例足以说明AI 的能力:
1. 关键发现:核心算术中的不兼容数学体系(SUIDEXCA-122)● 问题:协议的定点数学库同时使用了两套互不兼容的数学体系。逻辑层面采用二进制分解(2 的幂次)进行计算,但协议的精度标准却基于十进制(10 的幂次)。在十进制框架中执行二进制操作,就像在同一个公式里把米和英尺混用却不做换算。
● 影响:所有非平凡的乘除运算都必然产生不可预测且错误的结果。这是一个随时可能爆发的定时炸弹,会彻底破坏整个AMM 的可靠性,导致重大财务差异和用户信任的流失。
这一发现体现了AI 能够发现深层数学性缺陷,而不仅仅是表层的代码漏洞。
2. 关键发现:错误的 Swap 逻辑标志● 问题:负责执行Token A → Token B 交换的关键函数调用了一个内部库来计算所需输入金额,但错误地传入了一个硬编码参数,使得库以为正在执行相反方向的交换(Token B → Token A)。
● 影响:这一小小的错误会导致协议对每笔交易的输入金额计算错误,从而引发交易价格不公平或交易直接失败,严重破坏DEX 的核心功能。
这一发现展示了AI 的跨函数上下文分析能力。它并未孤立分析某个函数,而是追踪了完整的执行路径,识别出逻辑上的关键矛盾。
3. 高危发现:无限代币释放漏洞(SUIDEXCA-30)● 问题:奖励代币的时间计算逻辑存在细微错误,未能按照预设的3 年计划正确限制发行上限。
● 影响:协议会无限期地铸造新代币,远超既定时间表。这将彻底破坏项目的代币经济模型,引发通胀,摧毁代币价值,并违背对社区的承诺。