Primeiro exploit de smart contract devido ao vibe coding (uso de IA)

[TryNinja]

Tá borbulhando por ai um exploit do projeto DeFi "Moonwell" que perdeu $1,78 milhões com um exploit em seu smart contract.

Até aí tudo bem, todos sabemos que toda hora rola um exploit no mundo DeFi.

Mas o que mais chamou atenção foi que o exploit foi causado por uma linha de código no smart contract que foi co-autorada pelo Claude (uma IA bastante utilizada por programadores, da Anthropic). Agora estão comentando que esse pode ser o primeiro exploit causado por código gerado por IA, que tem sido utilizado cada vez mais por programadores e pessoas aspirantes à programação.



Pull request: https://github.com/moonwell-fi/moonwell-contracts-v2/pull/578

Podem esperar que isso vai acontecer mais e mais... fora os hacks e vulnerabilidades introduzidas por IA em projetos "vibe codados" que não são do mundo crypto. De cabeça eu lembro de uns 3 casos de startups e SaaS que foram vibe codados e eram facilmente hackeaveis.

Fica a lição: cuidado... nem sempre o caminho mais fácil e rápido é o melhor.

[joker_josue]

Mas o código foi feito pelo IA sozinho? Não fizeram validação, nê com outro IA?
Pelo menos validar com outro IA, sempre vai ajudar a verificar se existe mais alguma coisa que foi erro.

Ou será que alguém adicionou esse código, alegando ter sido feito por IA, para depois o explorar... Bem, isto já pode ser um pouco teoria da conspiração.

[TryNinja]

Mas o código foi feito pelo IA sozinho? Não fizeram validação, nê com outro IA?
Pelo menos validar com outro IA, sempre vai ajudar a verificar se existe mais alguma coisa que foi erro.

Ou será que alguém adicionou esse código, alegando ter sido feito por IA, para depois o explorar... Bem, isto já pode ser um pouco teoria da conspiração.

Sozinho não sabemos. Mas que a modificação teve dedo do Claude, podemos ver que sim. E sobre ter sido proposital, sempre é possível, mas é teoria da conspiração e não dá para provar que sim ou não.

Detalhe que as modificações passaram nos testes, mas isso mostra como muitas vezes algo parece correto (vindo da IA) e passa em todos os testes, mas ignora nuances importantes do mundo real.

[rdluffy]

Com certeza vai acontecer mais casos e em breve
Vejo bastante gente criando coisas só com a IA mas fica essa questão, será que é seguro o suficiente?

Se for uma plataforma sensível a dados ou a valores, é bem arriscado e deve ter um profissional para pelo menos analisar o código para possíveis falhas
O pessoal vem vendendo a criação com a IA parecendo que é algo fácil, seguro e que qualquer um pode fazer, mas quando envolve segurança ainda precisa de um bom profissional humano para analisar

[criptoevangelista]

Acho que isso é só a ponta do iceberg, tem muita, mas muita gente mesmo programando com IA e soltando os app pelo mundo, tudo pra tentar monetizar, o serviço artesanal de programar acho que nem existe mais

e isso é bem preocupante, porque as coisas vão ficando cada vez mais arriscadas, mas ao mesmo tempo fortalece o bitcoin, visto que ele não tem nada dessas coisas, é puramente código raiz.

[joker_josue]

Com certeza vai acontecer mais casos e em breve
Vejo bastante gente criando coisas só com a IA mas fica essa questão, será que é seguro o suficiente?

No final, vai ser tudo um processo de aprendizagem e crescimento.

Antes de IA, já havia muitos programadores, que alegadamente tinha muito conhecimento, e cometiam falhas semelhantes.
Talvez o elemento novo, é que hoje, pessoas com nenhum conhecimento de programação, aventura-se no meio.

Mas, também acho que essas pessoas, acabam por sair rápido. As que não saírem, vão crescer a nível de conhecimento sobre o tema, que já lhes dará uma maior margem de segurança.

Até lá, são as dores de crescimento de novas ferramentas. Aconteceu assim com todas as tecnologias que surgiram e mudaram a forma de fazer as coisas.
Primeiro é incrível, depois é mau porque causa problemas, no final é bom porque ajuda bastante.

Foi assim, com a maquina a vapor, o carro, o telefone, os computadores, a internet, os telemóveis, os smartphones.

[alegotardo]

Acho que isso é só a ponta do iceberg, tem muita, mas muita gente mesmo programando com IA e soltando os app pelo mundo, tudo pra tentar monetizar, o serviço artesanal de programar acho que nem existe mais

e isso é bem preocupante, porque as coisas vão ficando cada vez mais arriscadas, mas ao mesmo tempo fortalece o bitcoin, visto que ele não tem nada dessas coisas, é puramente código raiz.

Com absoluta certeza.
Quem é DEV sabe como a IA ajuda pra caramba não só a tirar duvidas com bugs mas também no auxilio de códigos repetitivos e coisas simples/banais do dia a dia que até poderiam ser resolvidas com um bom framework ou IDEs parrudas e bem configuradas para o propósito da aplicação, mas enfim.... IAs hoje em dia são muito uteis no desenvolvimento e com certeza a gente precisa usar elas... o ganho de performance é incrível se saber usar, o problema é que elas cometem erros grotescos as vezes até mesmo pra coisas simples.
Então a lógica deveria ser: Se a IA faz em 5 minutos o trabalho que um DEV levaria 5 dias, o que custa tirar um ou dois dias para revisar o que ela fez?  Problema é que tem dev preguiçoso... confere uma vez e viu que tá tudo certo aí depois fecha os olhos e confia.... isso que a IA ainda não está querendo nos destruir, imagina se tivessem