Slimme contracten vormen het hart van de hele blockchainindustrie, van mememunten tot complexe DeFi-platforms. Deze geautomatiseerde programma’s hebben echter te maken met de aanhoudende dreiging van cyberaanvallen, die vaak leiden tot aanzienlijke financiële verliezen en reputatieschade. De beste verdediging is volgens een team onderzoekers kunstmatige intelligentie.
“Lightning Cat” is een nieuwe oplossing die gebruik maakt van deep learning-technieken om kwetsbaarheden in slimme contracten te identificeren, voorgesteld in een recente studie getiteld “Deep learning-based solution for smart contract vulnerabilities detection”.
In tegenstelling tot traditionele analysetools, die gevoelig zijn voor zowel fout-positieven als negatieven, maakt Lightning Cat gebruik van deep learning-methoden om mogelijke problemen te signaleren. Het is alsof ze een bot hebben getraind op de programmeertaal Solidity in plaats van Engels.
“De resultaten tonen aan dat de voorgestelde methode redelijkere data preprocessing en modeloptimalisatie heeft, wat resulteert in betere detectieprestaties”, aldus de onderzoekers, die uitleggen dat Lightning Cat gebaseerd is op drie geoptimaliseerde deep learning-modellen: CodeBERT, LSTM en CNN. Deze modellen worden getraind op datasets met duizenden kwetsbare contracten.
Met name het CodeBERT-model presteert beter dan statische detectietools en laat een indrukwekkende f1-score van 93,53% zien, waarmee het nauwkeurig de syntaxis en semantiek van de code vastlegt en zichzelf bewijst als een capabele blockchain-auditor.
Bron: Nature
Bliksemkat komt echter met enkele risico’s. Onderzoekers noemen het een “tweesnijdend zwaard”: Hoewel het gunstig is voor het verbeteren van de veiligheid van slimme contracten, is er ook een potentieel voor kwaadwillende actoren om deze technologie te misbruiken, door het te gebruiken om bugs op te sporen en te exploiteren in plaats van ze te repareren. Om dit te beperken, moedigen de onderzoekers programmeurs aan om de juiste beveiligingspraktijken te overwegen en hun producten regelmatig te controleren.
“Ontwikkelaars moeten regelmatig code-audits uitvoeren en veilige coderingstrainingen volgen, evenals een verantwoordelijk beleid voor het openbaar maken van kwetsbaarheden”, waarschuwen de onderzoekers. “Het wordt aangemoedigd dat onderzoekers en ontwikkelaars, na het ontdekken van beveiligingslekken, in eerste instantie de relevante organisaties of personen privé op de hoogte stellen.”
De lange geschiedenis van smart contract inbreuken onderstreept het belang van dit werk. De DAO-aanval in 2016, waarbij hackers misbruik maakten van een reentrancy kwetsbaarheid, resulteerde in een diefstal van $ 60 miljoen Ethereum. Dit incident leidde tot de opsplitsing van de Ethereum blockchain. Het BEC smart contract onderging in 2018 een vergelijkbaar lot door een integer overflow kwetsbaarheid, waardoor de tokenwaarde tot nul kelderde en de markt werd verstoord.
Lightning Cat kan nuttig zijn voor ontwikkelaars om hun tools te testen voordat ze worden ingezet. Halborn COO David Schwed vertelde TCN dat veel van de DeFi-exploits voorkomen konden worden met de juiste beveiligingscontroles.
“Een aantal van de hacks waren niet noodzakelijkerwijs on-chain kwetsbaarheden,” zei Schwed in een exclusief interview. “Het ging om standaard Web2 beveiliging die gewoon gecompromitteerd of geschonden was door slechte beveiligingspraktijken.”
Het Lightning Cat initiatief, dat gebruik maakt van AI voor het detecteren van kwetsbaarheden in de code, maakt deel uit van een bredere trend waarbij AI en blockchain technologieën samenkomen om de beveiliging van software te verbeteren. Deze trend omvat een op AI en blockchain gebaseerd gedecentraliseerd softwaretestsysteem dat de kracht van deep learning combineert met de transparantie en betrouwbaarheid van blockchaintechnologie.
Voorstanders zeggen dat deze aanpak het detectieproces van kwetsbaarheden aanzienlijk versnelt en vooral nuttig blijkt te zijn in scenario’s waarin op afstand wordt gewerkt. Daarnaast bevat het het InterPlanetary File System (IPFS) voor efficiënte gegevensopslag en biedt het een allesomvattende oplossing voor het veilig ontwikkelen en testen van code in gedecentraliseerde omgevingen.
