Los contratos inteligentes son el corazón de toda la industria blockchain, desde las meme coins hasta las complejas plataformas DeFi. Estos programas automatizados, sin embargo, se enfrentan a la persistente amenaza de los ciberataques, que a menudo conducen a importantes pérdidas financieras y de reputación. La mejor defensa, según un equipo de investigadores, es la inteligencia artificial.
«Lightning Cat» es una solución novedosa que emplea técnicas de aprendizaje profundo para identificar vulnerabilidades en contratos inteligentes, propuesta en un estudio reciente titulado «Deep learning-based solution for smart contract vulnerabilities detection».
A diferencia de las herramientas de análisis tradicionales -que son propensas tanto a falsos positivos como a negativos-, Lightning Cat utiliza métodos de aprendizaje profundo para señalar posibles problemas. Es como si hubieran entrenado a un robot en el lenguaje de programación Solidity en lugar de en inglés.
«Los resultados muestran que el método propuesto tiene un preprocesamiento de datos y una optimización de modelos más razonables, lo que se traduce en un mejor rendimiento de detección», afirman los investigadores, que explican que Lightning Cat se basa en tres modelos de aprendizaje profundo optimizados: CodeBERT, LSTM y CNN. Estos modelos se entrenan con conjuntos de datos que incluyen miles de contratos vulnerables.
En particular, el modelo CodeBERT supera a las herramientas de detección estática, demostrando una impresionante puntuación f1 del 93,53%, capturando con precisión la sintaxis y la semántica del código y demostrando ser un auditor de blockchain capaz.
Fuente: Nature
Sin embargo, el rayo Cat conlleva algunos riesgos. Los investigadores lo llaman «arma de doble filo»: Aunque es beneficioso para mejorar la seguridad de los contratos inteligentes, existe la posibilidad de que los actores maliciosos se aprovechen de esta tecnología, utilizándola para detectar fallos y explotarlos en lugar de solucionarlos. Para mitigarlo, los investigadores animan a los programadores a tener en cuenta las prácticas de seguridad adecuadas y a revisar sus productos con regularidad.
«Los desarrolladores deberían llevar a cabo auditorías periódicas del código y recibir formación en codificación segura, así como adoptar políticas responsables de divulgación de vulnerabilidades», advierten los investigadores. «Se anima a los investigadores y desarrolladores a que, cuando descubran vulnerabilidades de seguridad, lo notifiquen inicialmente a las organizaciones o personas pertinentes de forma privada.»
La larga historia de violaciones de contratos inteligentes subraya la importancia de este trabajo. El ataque DAO de 2016, en el que los hackers explotaron una vulnerabilidad de reentrada, dio lugar a un robo de 60 millones de dólares de Ethereum. Este incidente provocó la escisión de la blockchain de Ethereum. El contrato inteligente BEC se enfrentó a un destino similar en 2018 debido a una vulnerabilidad de desbordamiento de enteros, lo que provocó que el valor de su token se desplomara a cero y perturbara el mercado.
L
Lightning Cat puede ser útil para que los desarrolladores prueben sus herramientas antes de la implementación. Como dijo a TCN David Schwed, Director de Operaciones de Halborn, muchos de los exploits de DeFi podrían evitarse con comprobaciones de seguridad adecuadas.
«Varios de los ataques no eran necesariamente vulnerabilidades de la cadena», dijo Schwed en una entrevista exclusiva. «Se trataba de seguridad estándar de Web2 que simplemente se vio comprometida o vulnerada debido a unas prácticas de seguridad deficientes».
La iniciativa Lightning Cat, que utiliza IA para detectar vulnerabilidades de código, forma parte de una tendencia más amplia en la que las tecnologías de IA y blockchain convergen para mejorar la seguridad del software. Esta tendencia incluye un sistema descentralizado de pruebas de software basado en IA y blockchain que combina el poder del aprendizaje profundo con la transparencia y la fiabilidad de la tecnología blockchain.
Sus defensores afirman que este enfoque acelera significativamente el proceso de detección de vulnerabilidades y está resultando especialmente beneficioso en escenarios de trabajo remoto. Además, incorpora el Sistema de Archivos Interplanetarios (IPFS) para un almacenamiento de datos eficiente, ofreciendo una solución integral para el desarrollo y las pruebas de código seguro en entornos descentralizados.
