Smart Contracts sind das Herzstück der gesamten Blockchain-Industrie, von Meme-Coins bis hin zu komplexen DeFi-Plattformen. Diese automatisierten Programme sind jedoch einer ständigen Bedrohung durch Cyberangriffe ausgesetzt, die oft zu erheblichen finanziellen und Reputationsverlusten führen. Die beste Verteidigung, so ein Forscherteam, ist künstliche Intelligenz.
„Lightning Cat“ ist eine neuartige Lösung, die Deep-Learning-Techniken zur Erkennung von Schwachstellen in intelligenten Verträgen einsetzt und in einer aktuellen Studie mit dem Titel „Deep Learning-based solution for smart contract vulnerabilities detection“ vorgestellt wurde.
Im Gegensatz zu herkömmlichen Analysetools, bei denen es sowohl zu falsch positiven als auch zu negativen Ergebnissen kommen kann, nutzt Lightning Cat Deep-Learning-Methoden, um mögliche Probleme zu erkennen. Es ist, als hätte man einen Bot auf die Programmiersprache Solidity statt auf Englisch trainiert.
Die Ergebnisse zeigen, dass die vorgeschlagene Methode über eine vernünftigere Datenvorverarbeitung und Modelloptimierung verfügt, was zu einer besseren Erkennungsleistung führt“, so die Forscher, die erklärten, dass Lightning Cat auf drei optimierten Deep-Learning-Modellen basiert: CodeBERT, LSTM und CNN. Diese Modelle werden anhand von Datensätzen trainiert, die Tausende von anfälligen Verträgen umfassen.
Insbesondere das CodeBERT-Modell übertrifft statische Erkennungstools mit einem beeindruckenden f1-Score von 93,53 %, wobei es die Syntax und Semantik des Codes genau erfasst und sich als fähiger Blockchain-Prüfer erweist.
Quelle: Nature
Lightning Cat birgt jedoch auch einige Risiken. Forscher nennen es ein „zweischneidiges Schwert“: Während sie die Sicherheit von Smart Contracts verbessern, besteht die Möglichkeit, dass böswillige Akteure diese Technologie ausnutzen, um Fehler zu entdecken und auszunutzen, anstatt sie zu beheben. Um dies zu verhindern, ermutigen die Forscher die Programmierer, angemessene Sicherheitspraktiken zu berücksichtigen und ihre Produkte regelmäßig zu überprüfen.
„Entwickler sollten regelmäßig Code-Audits durchführen und Schulungen zur sicheren Programmierung absolvieren sowie verantwortungsvolle Richtlinien zur Offenlegung von Schwachstellen einführen“, warnen die Forscher. „Es wird empfohlen, dass Forscher und Entwickler bei der Entdeckung von Sicherheitslücken die betreffenden Organisationen oder Personen zunächst privat benachrichtigen.“
Die lange Geschichte von Smart-Contract-Verletzungen unterstreicht die Bedeutung dieser Arbeit. Der DAO-Angriff von 2016, bei dem Hacker eine Reentrancy-Schwachstelle ausnutzten, führte zu einem Diebstahl von Ethereum in Höhe von 60 Millionen Dollar. Dieser Vorfall führte zur Spaltung der Ethereum-Blockchain. Ein ähnliches Schicksal ereilte den BEC-Smart-Contract im Jahr 2018 aufgrund einer Integer-Overflow-Schwachstelle, die den Wert des Tokens auf null sinken ließ und den Markt störte.
Lightning Cat kann für Entwickler nützlich sein, um ihre Tools vor dem Einsatz zu testen. Wie David Schwed, COO von Halborn, gegenüber TCN erklärte, hätten viele der DeFi-Exploits mit angemessenen Sicherheitsüberprüfungen vermieden werden können.
„Eine Reihe der Hacks waren nicht notwendigerweise On-Chain-Schwachstellen“, sagte Schwed in einem Exklusiv-Interview. „Es handelte sich um Standard-Web2-Sicherheitsmaßnahmen, die aufgrund schlechter Sicherheitspraktiken beeinträchtigt oder verletzt wurden.“
Die Lightning Cat-Initiative, bei der KI zur Erkennung von Code-Schwachstellen eingesetzt wird, ist Teil eines breiteren Trends, bei dem KI- und Blockchain-Technologien zusammenkommen, um die Software-Sicherheit zu verbessern. Zu diesem Trend gehört ein auf KI und Blockchain basierendes dezentrales Software-Testsystem, das die Leistungsfähigkeit von Deep Learning mit der Transparenz und Zuverlässigkeit der Blockchain-Technologie kombiniert.
Befürworter sagen, dass dieser Ansatz den Prozess der Schwachstellenerkennung erheblich beschleunigt und sich besonders in Szenarien der Fernarbeit als vorteilhaft erweist. Darüber hinaus beinhaltet es das InterPlanetary File System (IPFS) zur effizienten Datenspeicherung und bietet damit eine umfassende Lösung für die sichere Codeentwicklung und -prüfung in dezentralen Umgebungen.
