Más allá de la exageración: ChatGPT y auditoría de contratos inteligentes

Tiempo de lectura: 5 minutos

Explorando la efectividad de chatGPT en la auditoría de contratos inteligentes

Fue el 30 de noviembre de 2022 cuando se lanzó ChatGPT. No pasó mucho tiempo para conquistar el mundo. No importa qué red social uses, hay publicaciones, memes, artículos informativos y demás en chatGPT. No solo eso, el chatGPT fue la comidilla de los principales medios de comunicación. No hay dudas cuando digo que todos hablaron sobre chatGPT y su poder.

En este blog, analicemos cómo se usa o se puede usar chatGPT en la auditoría de contratos inteligentes o la seguridad cibernética de Web3. Comencemos primero con lo que es exactamente chatGPT.

¿Qué es Chat GPT?

ChatGPT es un chatbot interactivo que recibe indicaciones y devuelve respuestas basadas en sus datos entrenados. Tiene una notable habilidad para comunicarse en un diálogo conversacional y dar respuestas que pueden parecer sorprendentemente humanas.

Aparte de eso, una de las cosas que lo hace más inteligente es su capacidad única para seguir aprendiendo de los datos de entrada del usuario; esto se implementa en una capa de aprendizaje de refuerzo con retroalimentación humana (RLHF), que lo ayuda a devolver respuestas que son satisfactorias para los humanos. 

Datos de entrenamiento

Cada modelo de IA no es más que una máquina entrenada que da respuestas basadas en su aprendizaje y hallazgos de los datos de entrenamiento. Los datos de entrenamiento pueden ser cualquier cosa, desde videos hasta texto que se alimenta a un modelo que aprende sobre estos datos, y cuando se le propone un problema a este modelo, en función de su aprendizaje de los datos de entrenamiento, da respuestas. 

El chatGPT se entrenó con los datos recopilados de Internet, incluidas fuentes como las discusiones de Reddit, para ayudar a ChatGPT a aprender el diálogo y lograr un estilo de respuesta similar al humano. chatGPT también está capacitado en retroalimentación humana. Esta técnica se llama Aprendizaje por Refuerzo con Retroalimentación Humana para que la IA aprenda lo que las personas esperan cuando hacen una pregunta.

ChatGPT puede encontrar vulnerabilidades

Mucho después de su lanzamiento, la gente comenzó a experimentar con las capacidades de chatGPT en varios casos de uso y escenarios. Esta experimentación también se realizó en seguridad de contratos inteligentes.

Y chatGPT seguro que no nos falló. Sin embargo, todavía tiene margen de mejora, pero demostró ser útil y de gran ayuda para los auditores y las personas que se ocupan de los contratos inteligentes. Cuando se trata de los hacks conocidos y algunos hacks que han estado en el sistema durante bastante tiempo, es muy útil para detectarlos.

Algunas de las vulnerabilidades comunes que chatGPT encuentra con un poco de precisión son:

1. Ataque de alquiler: Esta es una vulnerabilidad común en la que un atacante puede llamar repetidamente a una función dentro de un contrato inteligente antes de que se complete la ejecución anterior, lo que genera un comportamiento inesperado o malicioso.

2. Desbordamientos/subdesbordamientos de enteros: Los contratos inteligentes a menudo se basan en cálculos de números enteros y, si estos cálculos no se verifican correctamente, pueden provocar un comportamiento inesperado o incorrecto.

3. Valores de retorno no verificados: Es posible que un contrato no maneje correctamente los valores de retorno inesperados de las llamadas externas, lo que puede generar una vulnerabilidad potencial y causar daños.

4. Funciones desprotegidas: Es posible que un contrato no tenga un control de acceso adecuado, lo que da lugar a un acceso no autorizado a funciones confidenciales. Lo que puede conducir a una gran pérdida.

Hay algunas otras vulnerabilidades y problemas que chatGPT puede identificar con los contratos inteligentes, y seguramente se sorprenderá al verlos. Aún así, a través de nuestras pruebas, descubrimos que a menudo recibiría una falsa alarma, y ​​existe una gran posibilidad de que se pasen por alto algunos errores cruciales.

¿Puede chatGPT encontrar todas las vulnerabilidades?

Si bien chatGPT es una herramienta útil y un gran avance de la IA para las masas, todavía está lejos de ser perfecto y no se puede dejar que asegure por completo los contratos inteligentes.

Nuestra prueba encontró que el chatGPT generó una falsa alarma para un ataque de reentrada, que ya fue custodiado y probado. Aparte de eso, hubo más falsas alarmas y, lo que es más importante, el error crítico que encontró nuestro equipo fue completamente ignorado por chatGPT. Discutamos algunas de las cosas que chatGPT probablemente se perderá.

1. Lógica específica del proyecto:- La columna vertebral del proyecto es su lógica y cómo se interconectan las cosas, pero parece que chatGPT no lo entiende. Durante las pruebas, se descubrió que chatGPT a menudo no podía encontrar el error crítico, que era específico de la lógica. Debido a la complejidad de la infraestructura subyacente del protocolo, chatGPT pasa por alto las vulnerabilidades críticas que surgen debido a la interconexión de contratos para cumplir con el requisito lógico del proyecto.

2. Cálculos matemáticos y modelos estadísticos inexactos:- Cuando se trata de proyectos, ya sea un proyecto de juego, un proyecto DeFi o cualquier cosa, se trata principalmente de cálculos y relaciones matemáticas. Estas fórmulas a menudo no se verifican ni supervisan por parte del chatGPT, y se pasan por alto posibles errores.

3. Irregularidades en el diseño e implementación previstos:- Muchas veces, la implementación por parte de los desarrolladores no es tan correcta como debería ser, lo que genera problemas de seguridad. Esto ha sido explotado en el pasado y sigue siendo uno de los sectores esenciales que se pueden mejorar, y chatGPT también es un poco ignorante en este frente.

Conclusión

Cuando se trata de seguridad y auditoría web3, las herramientas de IA son una ayuda, no hay duda al respecto, pero la pregunta es, ¿es eso suficiente? la respuesta es un gran “NO”. Como se discutió, algunas de las vulnerabilidades cruciales pueden quedar fácilmente fuera y existe una gran posibilidad de falsas alarmas. Estas falsas alarmas crean la falsa sensación de que chatGPT puede identificar todos los errores y hacer que el usuario crea en ellos, pero la realidad es diferente y puede ser dura si nos volvemos dependientes solo de las herramientas de IA.

La IA puede llegar a ser muy eficaz, pero nos queda un largo camino por recorrer. La mejor manera en que podemos mejorar la seguridad es mediante el uso de la IA y la cobertura manual de los aspectos de seguridad de los contratos inteligentes.

Con respecto a seguridad de contrato inteligente, no hay reemplazo para las auditorías. Es de suma necesidad realizar una auditoría, y sin auditoría, nunca puede haber confianza entre los usuarios, ya que los informes de auditoría significan mucho. Muchos usuarios buscan el informe de auditoría antes de confiar en los proyectos. Una de las firmas líderes en servicios de auditoría es QuillAudits. Con más de 700 proyectos asegurados y muchos más por venir, garantizamos la total seguridad de los protocolos. Visite nuestro sitio web ahora y haga que su proyecto sea auditado.

20 Vistas

• Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
• Platoblockchain. Inteligencia del Metaverso Web3. Conocimiento amplificado. Accede Aquí.
• Fuente: https://blog.quillhash.com/2023/04/03/beyond-the-hype-chatgpt-and-smart-contract-auditing/