Smart kontrakty są sercem całej branży blockchain, od meme coinów po złożone platformy DeFi. Te zautomatyzowane programy stoją jednak w obliczu ciągłego zagrożenia cyberatakami, które często prowadzą do znacznych strat finansowych i reputacyjnych. Według zespołu badaczy najlepszą obroną jest sztuczna inteligencja.
„Lightning Cat” to nowatorskie rozwiązanie, które wykorzystuje techniki głębokiego uczenia się do identyfikacji luk w inteligentnych kontraktach, zaproponowane w niedawnym badaniu zatytułowanym „Rozwiązanie oparte na głębokim uczeniu się do wykrywania luk w inteligentnych kontraktach”.
W przeciwieństwie do tradycyjnych narzędzi analitycznych, które są podatne zarówno na fałszywie pozytywne, jak i negatywne wyniki, Lightning Cat wykorzystuje metody głębokiego uczenia się do oznaczania możliwych problemów. To tak, jakby wyszkolili bota w języku programowania Solidity zamiast angielskiego.
„Wyniki pokazują, że proponowana metoda ma bardziej rozsądne przetwarzanie wstępne danych i optymalizację modelu, co skutkuje lepszą wydajnością wykrywania” – powiedzieli naukowcy, wyjaśniając, że Lightning Cat opiera się na trzech zoptymalizowanych modelach głębokiego uczenia: CodeBERT, LSTM i CNN. Modele te przechodzą szkolenie na zestawach danych obejmujących tysiące podatnych na ataki umów.
W szczególności model CodeBERT przewyższa statyczne narzędzia wykrywające, wykazując imponujący wynik f1 na poziomie 93,53%, dokładnie przechwytując składnię i semantykę kodu i udowadniając, że jest zdolnym audytorem blockchain.
Źródło: Nature
Lightning Cat wiąże się jednak z pewnym ryzykiem. Badacze nazywają to „mieczem o dwóch ostrzach”: Podczas gdy korzystne jest zwiększenie bezpieczeństwa inteligentnych kontraktów, złośliwi aktorzy mogą wykorzystać tę technologię, wykorzystując ją do wykrywania błędów i wykorzystywania ich zamiast ich naprawiania. Aby to złagodzić, naukowcy zachęcają programistów do rozważenia odpowiednich praktyk bezpieczeństwa i regularnego sprawdzania swoich produktów.
„Programiści powinni regularnie przeprowadzać audyty kodu i przechodzić szkolenia w zakresie bezpiecznego kodowania, a także przyjmować odpowiedzialne zasady ujawniania luk w zabezpieczeniach” – ostrzegają naukowcy. „Zachęcamy badaczy i deweloperów, aby po odkryciu luk w zabezpieczeniach, początkowo powiadamiali odpowiednie organizacje lub osoby prywatnie.”
Długa historia naruszeń inteligentnych kontraktów podkreśla znaczenie tej pracy. Atak na DAO z 2016 roku, w którym hakerzy wykorzystali lukę w zabezpieczeniach reentrancy, doprowadził do kradzieży Ethereum o wartości 60 milionów dolarów. Incydent ten doprowadził do podziału blockchaina Ethereum. Inteligentny kontrakt BEC spotkał podobny los w 2018 roku z powodu luki w zabezpieczeniach typu integer overflow, powodując gwałtowny spadek wartości tokena do zera i zakłócając rynek.
Lightning Cat może być przydatny dla programistów do testowania swoich narzędzi przed wdrożeniem. Jak powiedział TCN David Schwed, dyrektor operacyjny Halborn, wielu exploitów DeFi można było uniknąć dzięki odpowiednim kontrolom bezpieczeństwa.
„Wiele hacków niekoniecznie było lukami w zabezpieczeniach łańcucha” – powiedział Schwed w ekskluzywnym wywiadzie. „Były to standardowe zabezpieczenia Web2, które zostały po prostu naruszone lub złamane z powodu złych praktyk bezpieczeństwa”.
Inicjatywa Lightning Cat, wykorzystująca sztuczną inteligencję do wykrywania luk w kodzie, jest częścią szerszego trendu, w którym technologie AI i blockchain łączą się w celu zwiększenia bezpieczeństwa oprogramowania. Trend ten obejmuje zdecentralizowany system testowania oprogramowania oparty na sztucznej inteligencji i blockchainie, który łączy w sobie moc głębokiego uczenia się z przejrzystością i niezawodnością technologii blockchain.
Zwolennicy twierdzą, że podejście to znacznie przyspiesza proces wykrywania luk w zabezpieczeniach i okazuje się szczególnie korzystne w scenariuszach pracy zdalnej. Dodatkowo, zawiera on InterPlanetary File System (IPFS) do wydajnego przechowywania danych, oferując kompleksowe rozwiązanie do bezpiecznego tworzenia i testowania kodu w zdecentralizowanych środowiskach.
