Cargando precios…
🔥BULLISH

Ethereum corrige un fallo gossipsub hallado por IA

Los agentes detectaron un fallo en gossipsub explotable de forma remota, ya corregido como CVE-2026-34219, pero la mayor parte del esfuerzo de ingeniería se dedicó a descartar bugs convincentes y bien escritos que no eran reales.

Ethereum corrige un fallo gossipsub hallado por IA
Ethereum corrige un fallo gossipsub hallado por IA
Ethereum corrige un fallo gossipsub hallado por IA
Ethereum corrige un fallo gossipsub hallado por IA

Los desarrolladores de Ethereum Foundation pusieron a agentes de IA coordinados a trabajar sobre la capa gossipsub de la que dependen los nodos validadores para recibir mensajes, y los agentes devolvieron un bloqueo explotable de forma remota que ya se ha corregido como CVE-2026-34219. El fallo permitía a un remitente remoto forzar al software de un validador a realizar un cálculo imposible, apagar el nodo y dejar el validador fuera de línea hasta que un operador lo reiniciara.

El avance llegó acompañado de una lección menos halagadora. La mayor parte del tiempo de ingeniería se fue en separar hallazgos reales de los relatos detallados, seguros y fluidos que los agentes producían sobre bloqueos y ataques que en realidad no existían.

Por qué importa

Nikos Baxevanis, autor de la publicación de seguridad de protocolo de la Foundation, resumió la sorpresa con claridad: el trabajo no estaba en encontrar bugs, sino en distinguir los reales de los que solo parecían reales. Un fuzzer tradicional devuelve un bloqueo y un registro de dónde ocurrió, algo que un ingeniero puede confirmar en minutos. Un agente devuelve una explicación escrita, una gravedad declarada, código de explotación funcional y un razonamiento que suena igual tanto si el bug subyacente es real como si es inventado.

Se repitieron tres categorías de falsos positivos. La primera era un bloqueo que solo se reproducía en una compilación de prueba, donde las comprobaciones de seguridad inyectadas por el compilador capturan condiciones que el binario distribuido no incluye. La segunda era un ataque que solo funcionaba cuando el valor malicioso se colocaba a mano dentro del programa, porque todas las rutas accesibles desde el exterior lo rechazaban antes. La tercera procedía de ejecuciones de verificación formal que pasaban al demostrar algo trivialmente cierto, sin decir nada útil a los revisores sobre el software real. Los agentes redactaron las tres con la misma fluidez que un hallazgo real.

Impacto en el mercado

El punto ciego es estructural, y encaja con una serie de exploits de 2026. El ataque a Edel Finance de este mes esquivó un feed de precios preciso de Chainlink a través de la capa wrapper situada encima. El exploit de gobernanza de BONK encadenó transacciones ordinarias: comprar tokens, votar y ejecutar una propuesta aprobada. Válidas por separado, catastróficas en conjunto.

Tokens relacionados
$ETH

Preguntas frecuentes

  1. ¿Qué es CVE-2026-34219?

    CVE-2026-34219 es una vulnerabilidad de bloqueo explotable de forma remota en la capa de mensajería gossipsub de Ethereum, encontrada por agentes de IA coordinados por Ethereum Foundation y ya corregida. Podía forzar al software de un validador a realizar un cálculo imposible y apagar el nodo hasta que un operador lo…

  2. ¿Cómo usó Ethereum Foundation la IA para encontrar bugs?

    Los desarrolladores de la Foundation dirigieron agentes de IA coordinados al software que ejecutan los validadores de Ethereum, incluida la capa gossipsub. Los agentes propusieron secuencias sospechosas y produjeron relatos detallados sobre posibles bloqueos, que después los ingenieros validaron con pruebas…

  3. ¿Qué tipos de falsos positivos produjeron los agentes de IA?

    Se repitieron tres categorías. Un bloqueo que solo se reproducía en compilaciones de prueba con comprobaciones de seguridad del compilador, un ataque que solo funcionaba cuando un valor malicioso se colocaba a mano dentro del programa y pruebas de verificación formal que pasaban al demostrar algo trivialmente cierto.

  4. ¿Por qué los agentes de IA son débiles frente a exploits como Edel Finance y BONK?

    Esos ataques encadenaron pasos válidos por separado, una lectura precisa de precio de Chainlink envuelta en una capa maliciosa, compras ordinarias de tokens, votos y ejecuciones de propuestas, donde nada estaba mal salvo la secuencia. La publicación de la Foundation señala que los agentes razonan bien sobre un único…

  5. ¿Está Ethereum Foundation sustituyendo la revisión humana de seguridad por IA?

    No. La respuesta operativa de la publicación es dejar que el agente proponga qué secuencias parecen sospechosas y luego ejecutar las pruebas y la revisión humana de todos modos. La IA acelera la búsqueda, pero la validación sigue siendo el mismo trabajo difícil.

Atribución de fuente
Agregado de CoinDesk · Verificado · Última actualización hace 5h
Abrir original →