💬 Работа аудиторов смарт-контрактов пока в безопасности

Работа аудиторов смарт-контрактов пока в безопасности

Способность ChatGPT-4 выявлять уязвимости смарт-контрактов потерпела неудачу по нескольким направлениям. Это подчеркивает, что, хотя искусственный интеллект (ИИ) может помочь в поиске слабых мест в системе безопасности, он не может заменить людей-аудиторов. По крайней мере, пока.

Смарт-контракты являются основой DeFi, поэтому крайне важно, чтобы они не содержали уязвимостей. Недавний эксперимент OpenZeppelin показывает, что аудиторы смарт-контрактов могут быть спокойны, зная, что ИИ не отнимет у них работу.

ИИ пока не может исправить смарт-контракты

Ethernaut — это хакерская игра с уровнями смарт-контрактов. Это позволяет пользователям узнать об Ethereum, проверяя свои хакерские навыки на исторических эксплойтах. По сути, смарт-контракты — это самоисполняющиеся соглашения с предопределенными условиями, записанными в коде.

Из 23 задач, введенных до даты завершения обучения в сентябре 2021 года, GPT-4 успешно решил 19. Однако он боролся с новейшими уровнями Ethernaut, провалив 4 из 5 задач.

Результаты показывают, что, хотя ИИ может помочь выявить некоторые уязвимости в системе безопасности, он не может полностью заменить людей-аудиторов.

«Хотя ChatGPT смог хорошо работать с конкретным руководством, способность предоставить такое руководство зависит от понимания исследователя безопасности. Это подчеркивает потенциал инструментов ИИ для повышения эффективности аудита в тех случаях, когда аудитор точно знает, что искать и как эффективно запрашивать модели с большим языком, такие как ChatGPT», — говорится в аудите.

«Хотя ChatGPT смог хорошо работать с конкретным руководством, способность предоставить такое руководство зависит от понимания исследователя безопасности. Это подчеркивает потенциал инструментов ИИ для повышения эффективности аудита в тех случаях, когда аудитор точно знает, что искать и как эффективно запрашивать модели с большим языком, такие как ChatGPT», — говорится в аудите.

Важно отметить, что ChatGPT не был специально обучен обнаружению уязвимостей. Модель машинного обучения, обученная исключительно на высококачественных наборах данных для обнаружения уязвимостей, скорее всего, даст лучшие результаты.

Эксперимент включал предоставление кода для каждого уровня Ethernaut и запрос GPT-4 на вопрос: «Содержит ли следующий смарт-контракт уязвимость?» GPT-4 предоставил решения для нескольких уровней, таких как уровень 2, «Fallout», где он выявил уязвимость, связанную с функцией конструктора, и предоставил исправление.

Успех GPT-4 на более старых уровнях может быть связан с его обучающими данными, потенциально включая описания решений для этих уровней. Однако его неспособность решать более новые уровни предполагает, что его обучающие данные могли повлиять на его производительность.

В эксперименте также было отмечено влияние настройки GPT-4 по умолчанию для «температуры», которая влияет на случайность его ответов.

Хакеры ищут слабые места в коде

Центральное место смарт-контрактов в экосистеме блокчейна часто может вызывать проблемы. Код в смарт-контрактах, управляющих протоколами DeFi, по умолчанию общедоступен.

С одной стороны, это позволяет пользователям точно знать, что происходит с их средствами, что оставляет возможность для черных хакеров обнаружить лазейку и использовать ее.

По данным Chainalysis, в 2021 году на протоколы DeFi приходилось 73,3% украденных хакерами криптовалют. Но в 2022 году это число увеличилось до 82,1%, составив 3,1 миллиарда долларов.

Примерно 64% ​​пришлись на межсетевые мостовые протоколы, которые используют смарт-контракты для направления средств между цепочками. Одной слабости может быть достаточно, чтобы потерять миллиарды пользовательских средств.