Os contratos inteligentes são o coração de toda a indústria de blockchain, de moedas meme a plataformas DeFi complexas. Esses programas automatizados, no entanto, enfrentam a ameaça persistente de ataques cibernéticos, que muitas vezes levam a perdas financeiras e de reputação significativas. A melhor defesa, de acordo com uma equipa de investigadores, é a inteligência artificial.
O “Lightning Cat” é uma solução inovadora que emprega técnicas de aprendizagem profunda para identificar vulnerabilidades em contratos inteligentes, proposta num estudo recente intitulado “Deep learning-based solution for smart contract vulnerabilities detection”.
Ao contrário das ferramentas de análise tradicionais – que são propensas a falsos positivos e negativos – o Lightning Cat utiliza métodos de aprendizado profundo para sinalizar possíveis problemas. É como se eles tivessem treinado um bot na linguagem de programação Solidity em vez de inglês.
“Os resultados mostram que o método proposto tem um pré-processamento de dados e uma otimização de modelos mais razoáveis, resultando num melhor desempenho de deteção”, afirmam os investigadores, explicando que o Lightning Cat se baseia em três modelos optimizados de aprendizagem profunda: CodeBERT, LSTM e CNN. Esses modelos são treinados em conjuntos de dados que incluem milhares de contratos vulneráveis.
Notavelmente, o modelo CodeBERT supera as ferramentas de deteção estática, demonstrando uma pontuação f1 impressionante de 93,53%, capturando com precisão a sintaxe e a semântica do código e provando ser um auditor de blockchain capaz.
Source: Nature
No entanto, o gato-relâmpago tem alguns riscos. Os investigadores chamam-lhe uma “espada de dois gumes”: Embora seja benéfico para melhorar a segurança do contrato inteligente, há potencial para que atores mal-intencionados explorem essa tecnologia, usando-a para detetar bugs e explorá-los em vez de corrigi-los. Para mitigar isso, os pesquisadores incentivam os programadores a considerar práticas de segurança adequadas e verificar seus produtos regularmente.
“Os programadores devem efetuar regularmente auditorias ao código e receber formação em codificação segura, bem como adotar políticas responsáveis de divulgação de vulnerabilidades”, alertam os investigadores. “É aconselhável que os investigadores e os programadores, ao descobrirem vulnerabilidades de segurança, notifiquem inicialmente as organizações ou indivíduos relevantes em privado. “
O longo histórico de violações de contratos inteligentes ressalta a importância desse trabalho. O ataque DAO de 2016, em que os hackers exploraram uma vulnerabilidade de reentrada, resultou num roubo de 60 milhões de dólares de Ethereum. Este incidente levou à divisão da cadeia de blocos Ethereum. O contrato inteligente BEC enfrentou um destino semelhante em 2018 devido a uma vulnerabilidade de estouro de inteiro, fazendo com que o valor do seu token caísse para zero e perturbando o mercado.
Lightning Cat pode ser útil para os desenvolvedores testarem suas ferramentas antes da implantação. Como disse David Schwed, COO da Halborn, à TCN, muitas das explorações DeFi poderiam ser evitadas com verificações de segurança adequadas.
“Vários dos hacks não eram necessariamente vulnerabilidades na cadeia”, disse Schwed numa entrevista exclusiva. “Eles eram segurança padrão da Web2 que foi simplesmente comprometida ou violada devido a práticas de segurança inadequadas.”
A iniciativa Lightning Cat, utilizando IA para detetar vulnerabilidades de código, faz parte de uma tendência mais ampla em que as tecnologias de IA e blockchain estão convergindo para aumentar a segurança do software. Essa tendência inclui um sistema de teste de software descentralizado baseado em IA e blockchain que combina o poder do aprendizado profundo com a transparência e a confiabilidade da tecnologia blockchain.
Os proponentes dizem que essa abordagem acelera significativamente o processo de deteção de vulnerabilidades e está se mostrando especialmente benéfica em cenários de trabalho remoto. Além disso, incorpora o InterPlanetary File System (IPFS) para armazenamento eficiente de dados, oferecendo uma solução abrangente para desenvolvimento e teste de código seguro em ambientes descentralizados.
