Смарт-контракты — это сердце всей блокчейн-индустрии, от монет-мемов до сложных платформ DeFi. Однако эти автоматизированные программы сталкиваются с постоянной угрозой кибератак, которые часто приводят к значительным финансовым и репутационным потерям. Лучшей защитой, по мнению команды исследователей, является искусственный интеллект.
«Молниеносный кот» — это новое решение, использующее методы глубокого обучения для выявления уязвимостей в смарт-контрактах, предложенное в недавнем исследовании под названием «Решение на основе глубокого обучения для обнаружения уязвимостей в смарт-контрактах».
В отличие от традиционных инструментов анализа, которые склонны как к ложноположительным, так и к отрицательным результатам, «Lightning Cat» использует методы глубокого обучения для выявления возможных проблем. Это как если бы они обучали бота на языке программирования Solidity вместо английского.
«Результаты показывают, что предложенный метод имеет более разумную предварительную обработку данных и оптимизацию модели, что приводит к лучшей эффективности обнаружения», — говорят исследователи, поясняя, что Lightning Cat основан на трех оптимизированных моделях глубокого обучения: CodeBERT, LSTM и CNN. Эти модели проходят обучение на наборах данных, состоящих из тысяч уязвимых контрактов.
Примечательно, что модель CodeBERT превосходит статические инструменты обнаружения, демонстрируя впечатляющий f1-score 93,53 %, точно передавая синтаксис и семантику кода и доказывая, что она является способным аудитором блокчейна.
Источник: Nature
Молниеносная кошка, однако, связана с некоторыми рисками. Исследователи называют ее «мечом с двумя концами»: Несмотря на то, что она повышает безопасность смарт-контрактов, злоумышленники могут использовать эту технологию в своих целях, обнаруживая ошибки и используя их вместо того, чтобы исправлять. Чтобы смягчить эту проблему, исследователи призывают разработчиков учитывать надлежащие методы обеспечения безопасности и регулярно проверять свои продукты.
«Разработчики должны регулярно проводить аудит кода и проходить обучение безопасному кодированию, а также принять ответственную политику раскрытия уязвимостей», — предупреждают исследователи. «Рекомендуется, чтобы исследователи и разработчики, обнаружив уязвимости в системе безопасности, первоначально уведомляли об этом соответствующие организации или частных лиц в частном порядке. «
Длинная история взломов смарт-контрактов подчеркивает важность этой работы. Атака на DAO в 2016 году, когда хакеры использовали уязвимость reentrancy, привела к краже 60 миллионов долларов Ethereum. Этот инцидент привел к расколу блокчейна Ethereum. Смарт-контракт BEC постигла аналогичная участь в 2018 году из-за уязвимости целочисленного переполнения, в результате чего стоимость его токенов упала до нуля, а рынок был разрушен.
Lightning Cat может быть полезен разработчикам для тестирования своих инструментов перед развертыванием. Как сказал TCN главный исполнительный директор Halborn Дэвид Швед, многих эксплойтов DeFi можно было избежать, если бы они были должным образом проверены на безопасность.
«Ряд взломов не обязательно был связан с уязвимостями в цепочке», — сказал Швед в эксклюзивном интервью. «Это были стандартные средства безопасности Web2, которые были просто скомпрометированы или нарушены из-за плохой практики безопасности».
Инициатива Lightning Cat, использующая искусственный интеллект для обнаружения уязвимостей кода, является частью более широкой тенденции, когда технологии искусственного интеллекта и блокчейна объединяются для повышения безопасности программного обеспечения. Эта тенденция включает в себя децентрализованную систему тестирования программного обеспечения на основе ИИ и блокчейна, которая сочетает в себе мощь глубокого обучения с прозрачностью и надежностью технологии блокчейн.
По словам сторонников этого подхода, он значительно ускоряет процесс обнаружения уязвимостей и оказывается особенно полезным в сценариях удаленной работы. Кроме того, в систему встроена межпланетная файловая система (IPFS) для эффективного хранения данных, что представляет собой комплексное решение для безопасной разработки и тестирования кода в децентрализованных средах.
