Les contrats intelligents sont au cœur de toute l’industrie de la blockchain, des monnaies mèmes aux plateformes DeFi complexes. Ces programmes automatisés sont toutefois confrontés à la menace persistante des cyberattaques, qui entraînent souvent d’importantes pertes financières et de réputation. La meilleure défense, selon une équipe de chercheurs, est l’intelligence artificielle.
« Lightning Cat » est une nouvelle solution qui utilise des techniques d’apprentissage profond pour identifier les vulnérabilités dans les contrats intelligents, proposée dans une étude récente intitulée « Deep learning-based solution for smart contract vulnerabilities detection » (solution basée sur l’apprentissage profond pour la détection des vulnérabilités des contrats intelligents).
Contrairement aux outils d’analyse traditionnels, qui sont sujets aux faux positifs et aux faux négatifs, Lightning Cat utilise des méthodes d’apprentissage profond pour signaler les problèmes éventuels. C’est comme s’ils avaient formé un robot au langage de programmation Solidity au lieu de l’anglais.
« Les résultats montrent que la méthode proposée présente un prétraitement des données et une optimisation du modèle plus raisonnables, ce qui se traduit par de meilleures performances de détection », ont déclaré les chercheurs, expliquant que Lightning Cat est basé sur trois modèles d’apprentissage profond optimisés : CodeBERT, LSTM et CNN. Ces modèles subissent un entraînement sur des ensembles de données comprenant des milliers de contrats vulnérables.
Notamment, le modèle CodeBERT surpasse les outils de détection statique, affichant un score f1 impressionnant de 93,53 %, capturant avec précision la syntaxe et la sémantique du code et se révélant un auditeur de blockchain compétent.
Source : Nature
Le chat foudroyant comporte toutefois certains risques. Les chercheurs parlent d’une « épée à double tranchant » : Bien qu’elle permette d’améliorer la sécurité des contrats intelligents, il est possible que des acteurs malveillants exploitent cette technologie, en l’utilisant pour détecter des bogues et les exploiter au lieu de les corriger. Pour atténuer ce risque, les chercheurs encouragent les codeurs à adopter des pratiques de sécurité adéquates et à vérifier régulièrement leurs produits.
« Les développeurs devraient régulièrement procéder à des audits de code et suivre une formation au codage sécurisé, ainsi qu’adopter des politiques responsables de divulgation des vulnérabilités », avertissent les chercheurs. « Il est encouragé que les chercheurs et les développeurs, lorsqu’ils découvrent des vulnérabilités de sécurité, en informent d’abord les organisations ou les personnes concernées en privé. «
La longue histoire des brèches dans les contrats intelligents souligne l’importance de ce travail. L’attaque de la DAO en 2016, au cours de laquelle des pirates ont exploité une vulnérabilité de réentrance, a entraîné le vol de 60 millions de dollars d’Ethereum. Cet incident a conduit à la scission de la blockchain Ethereum. Le contrat intelligent BEC a connu un sort similaire en 2018 en raison d’une vulnérabilité de débordement d’entier, entraînant la chute de la valeur de son jeton à zéro et perturbant le marché.
Lightning Cat peut être utile aux développeurs pour tester leurs outils avant de les déployer. Comme l’a expliqué David Schwed, COO de Halborn, à TCN, bon nombre des exploits de DeFi auraient pu être évités grâce à des contrôles de sécurité adéquats.
« Un certain nombre de piratages n’étaient pas nécessairement des vulnérabilités de la chaîne », a déclaré M. Schwed dans une interview exclusive. « Il s’agissait de la sécurité standard du Web2 qui a été compromise ou violée en raison de mauvaises pratiques de sécurité.
L’initiative Lightning Cat, qui utilise l’IA pour détecter les vulnérabilités du code, s’inscrit dans une tendance plus large où les technologies de l’IA et de la blockchain convergent pour améliorer la sécurité des logiciels. Cette tendance comprend un système de test logiciel décentralisé basé sur l’IA et la blockchain qui combine la puissance de l’apprentissage profond avec la transparence et la fiabilité de la technologie blockchain.
Les partisans de cette approche affirment qu’elle accélère considérablement le processus de détection des vulnérabilités et s’avère particulièrement bénéfique dans les scénarios de travail à distance. En outre, elle intègre le système de fichiers interplanétaire (IPFS) pour un stockage efficace des données, offrant ainsi une solution complète pour le développement et les tests de code sécurisés dans des environnements décentralisés.
