AI menemukan celah pada jaringan Ethereum: validator dapat dipaksa untuk down/offline saat melakukan verifikasi ETH

以太坊基金會派出一組 AI 代理揪出 sebuah celah crash yang bisa dipicu dari jarak jauh, hingga cukup membuat verifier offline, dan mengungkapkannya sebagai CVE-2026-34219. Namun pada batch AI yang sama juga sekaligus menghasilkan sekitar 1.000 peringatan palsu, sehingga yang sulit justru membedakan mana yang benar dan mana yang hanya tampak seperti benar.
(Rangkuman sebelumnya: Untung! perusahaan keamanan menemukan celah di Aptos: risiko sistemik untuk aset kripto senilai 70 miliar dolar AS)
(Tambahan latar: AI otomatis penuh “peretasan pemerasan” terungkap! dengan kode JadePuffer yang khusus menyasar wallet kripto)

Satu set AI agents yang dirancang oleh Ethereum Foundation, ternyata benar-benar menemukan sebuah celah yang bisa membuat verifier offline! Ethereum Foundation membuat AI memindai perangkat lunak yang dijalankan oleh verifier, dengan target yang disasar adalah lapisan protokol yang digunakan oleh client consensus (konsensus client, perangkat lunak yang bertanggung jawab memverifikasi blok dan menjaga kesepakatan antarnode) di jaringan Ethereum untuk saling bertukar pesan. Sederhananya, ini adalah jalur komunikasi tempat para verifier saling “berbisik” untuk memastikan bahwa mereka melihat rantai yang sama.

AI agents di sini menemukan celah crash yang bisa dipicu dari jarak jauh: pihak eksternal hanya perlu mengirim pesan dengan cara tertentu sehingga node menjalankan sebuah perhitungan “mustahil terselesaikan” yang membuat perangkat lunak tidak sanggup, lalu berhenti dan mematikan diri. Para verifier kemudian menjadi offline, dan harus menunggu operator (pengelola node) melakukan restart manual agar pulih; selama itu, tugas yang terlewat bisa berdampak pada pendapatan dan stabilitas jaringan.

Saat ini celah tersebut sudah cepat diperbaiki, dan diungkap sebagai CVE-2026-34219. Masalahnya ada pada implementasi gossipsub di libp2p versi Rust (sebuah pustaka jaringan lapisan bawah yang memungkinkan node-node berbeda saling mengenali, terhubung, dan bertukar pesan).

Penulis Nikos Baxevanis menulis di field notes publik bahwa untuk menemukan celah-celah ini butuh waktu sedikit; yang benar-benar memakan waktu adalah membedakan mana yang nyata dan mana yang hanya terlihat seperti nyata.

AI peringatan palsu yang dibungkus gaya narasi

Alat uji fuzzy tradisional mengembalikan hanya “crash” dan “lokasi terjadinya”, sehingga insinyur dalam hitungan menit bisa memastikan itu benar atau tidak. Namun AI agents mengembalikan rangkaian narasi lengkap: AI akan menelusuri bagaimana celah itu dipicu, menguraikan mengapa kejadian ini penting, memberi skor tingkat keparahan, serta menyertakan potongan kode contoh serangan yang bisa langsung dieksekusi, semuanya dibungkus dalam tulisan yang mengalir. Hasilnya, celah yang benar dan yang murni karangan dibaca hampir sama.

Tim Ethereum Foundation merangkum tiga jenis peringatan palsu yang kerap muncul:

  • Masalah yang hanya menyebabkan crash di build versi test (pengecekan keamanan yang tidak ada di build resmi karena compiler mengaktifkannya; pengguna nyata pada dasarnya tidak akan mengalaminya)
  • Serangan yang baru terjadi jika nilai berbahaya dimasukkan secara manual ke dalam kode (setiap jalur yang bisa ditempuh pihak eksternal sebenarnya sudah lebih dulu menahan nilai ini)
  • Lalu ada “bukti tidak valid” yang dihasilkan dari formal verification, yaitu pembuktian dengan pendekatan matematis apakah perilaku program sudah benar; bukti itu membenarkan hal sepele yang jelas benar, tanpa memberikan informasi baru apa pun untuk perangkat lunaknya.

Masalah yang lebih mendasar adalah: AI unggul dalam menalar apa yang terjadi dalam “satu momen”, tetapi lemah dalam menilai celah yang tersusun dari beberapa langkah sah yang digabung melintasi waktu; tiap langkah jika dilihat sendiri-sendiri tidak salah, yang salah justyru urutannya.

Triage adalah produknya

Solusi yang diberikan Ethereum Foundation bukanlah membuang AI, juga bukan menerima semuanya begitu saja. AI agents diberi tanggung jawab untuk “merekomendasikan” urutan operasi mana yang layak diuji, sementara verifikasi aktual tetap menjalankan uji tradisional dan tinjauan manual. Otoritas keputusan tidak diserahkan; peran AI selalu menjadi alat pencari, bukan pengganti peneliti keamanan manusia.

Tampaknya, kemampuan menemukan celah dalam waktu singkat bukanlah kelangkaan terbesar di era AI; yang paling langka justru membedakan mana penemuan yang benar.

ETH0,20%
APT-2,95%
Lihat Asli
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
  • Hadiah
  • Komentar
  • Posting ulang
  • Bagikan
Komentar
Tambahkan komentar
Tambahkan komentar
Tidak ada komentar
  • Disematkan