Москва
+7-929-527-81-33
Вологда
+7-921-234-45-78
Вопрос юристу онлайн Юридическая компания ЛЕГАС Вконтакте

ИИ в аудите смарт‑контрактов: как масштабировать проверку без потери надёжности

Обновлено 10.07.2026 04:24

 

Автор: Петухов Олег Анатольевич, эксперт по информационной безопасности, руководитель юридической компании ЛЕГАС

Сайт: legascom.ru | Email: petukhov@legascom.ru

Рост числа смарт‑контрактов обострил проблему их аудита: ручной разбор не успевает за темпами разработки, а последствия ошибок исчисляются миллиардами долларов. В этих условиях ИИ становится инструментом, который не заменяет аудитора, а позволяет масштабировать проверку и приоритизировать риски.

Масштаб проблемы и реальные потери

Объём уязвимостей в Web3 уже измеряется не сложностью отдельных ошибок, а их количеством. По данным DeFiLlama, с 2018 года совокупные потери из‑за инцидентов превысили $15,8 млрд, из которых значительная часть пришлась на взломы DeFi‑протоколов и атаки на кроссчейн‑мосты.

Примеры 2026 года показывают, что уязвимости затрагивают разные уровни: от арифметических просчётов до ошибок в работе с оракулами и правами доступа. Так, в ряде проектов потери составили миллионы долларов из‑за некорректной настройки источников цен, ошибок в учёте долей и уязвимостей в проверке прав. При этом многие проблемы проявляются только в специфических сценариях взаимодействия компонентов.

Как устроен ручной аудит

Ручной аудит начинается не с кода, а с понимания бизнес‑логики: аудитору нужно чётко представлять, как должны рассчитываться балансы, какие роли предусмотрены и при каких условиях меняется состояние контракта. Без этого расхождение между задуманной и реализованной логикой остаётся скрытым.

Далее следует статический анализ: проверяются типы переменных, корректность проверок входных данных, обработка исключений. На этом этапе выявляют типовые проблемы - отсутствие базовых проверок, небезопасные внешние вызовы, потенциальные переполнения.

Затем контракт прогоняют по типовым и граничным сценариям, отдельно анализируя последовательности вызовов: многие уязвимости проявляются именно в комбинации функций. Параллельно проверяют устойчивость к типовым векторам атак - Reentrancy, Race Condition, манипуляции с ценами через оракулы.

Не менее важен анализ эффективности: расход газа, лишние записи в Storage, избыточные вычисления. Это влияет на эксплуатационные характеристики протокола. Итогом аудита становится отчёт с перечнем уязвимостей, уровнем критичности, сценариями эксплуатации и рекомендациями по исправлению.

Роль ИИ в аудите

ИИ не меняет цель аудита, но помогает справиться с масштабом. Его основная ценность - в первичном анализе и поиске повторяющихся паттернов. В основе таких систем - обучающие выборки из уязвимых и проверенных контрактов, а также базы известных уязвимостей.

Процесс автоматизированного анализа включает:

Статический разбор кода с сопоставлением фрагментов с известными сценариями.

Перебор состояний через символьное выполнение - это позволяет выявить ветки логики, которые не покрываются обычными тестами.

Машинное обучение для фильтрации ложных срабатываний и приоритизации проблем. В ряде случаев система может предложить сценарий эксплуатации или даже сгенерировать PoC‑эксплойт, подтверждающий риск.

Дополнительную валидацию через симуляции или формальную верификацию.

При этом ИИ не заменяет эксперта: часть находок требует ручного разбора, особенно если речь идёт о бизнес‑логике и сложных внешних зависимостях.

Эксперименты с ИИ‑агентами: возможности и цифры

Тестирование ИИ‑агентов (включая модели Opus, Sonnet, GPT‑5 и DeepSeek) показало, что они способны воспроизводить атаки на контракты с известными уязвимостями. В одном из экспериментов на выборке из 405 контрактов модели успешно довели атаку до результата в 51,11 % случаев, а потенциальный ущерб оценивался в $550 млн.

На более свежих контрактах (запущенных после марта 2025 года) доля успешных атак выросла до 55,8 %, что говорит о быстром прогрессе инструментов. При этом разброс результатов между моделями значителен: в одном и том же сценарии разные модели показывали разный потенциал вывода средств.

Важный вывод исследователей: те же инструменты, которые используют для поиска уязвимостей, могут применяться и для их устранения. Ключевой фактор - не сам инструмент, а сторона, которая его применяет.

Ограничения ИИ и практические вызовы

Несмотря на прогресс, у ИИ остаются существенные ограничения:

Объём контекста. Даже современные модели не всегда могут охватить весь проект целиком. В сложных протоколах уязвимость может находиться в комбинации нескольких контрактов, а не в одном файле.

Зависимость от обучающих данных. Модели лучше находят известные паттерны и типовые ошибки. При выходе за пределы этих сценариев точность снижается.

Прозрачность выводов. Не всегда понятно, почему модель сочла тот или иной участок кода уязвимым или безопасным. Это затрудняет валидацию результатов.

Бизнес‑логика. ИИ может разобрать код, но не всегда корректно интерпретирует экономические механизмы протокола - например, логику начисления вознаграждений или управления ликвидностью.

Практические выводы для защиты проектов

ИИ в аудите - это не замена эксперта, а способ перераспределить нагрузку: автоматизировать перебор, поиск и первичную фильтрацию, оставив человеку проверку логики, оценку рисков и разбор нетиповых сценариев.

С учётом роста числа контрактов и усиления связности протоколов разрыв между возможностями атаки и защиты будет увеличиваться. ИИ снижает стоимость поиска уязвимостей, и этот инструмент активно используют обе стороны. Поэтому вопрос уже не в том, применять ли ИИ в аудите, а в том, насколько быстро и грамотно его интегрируют в процессы проверки и обеспечения безопасности.