Помимо шумихи: ChatGPT и аудит смарт-контрактов

Время Читать: 5 минут

Изучение эффективности chatGPT в аудите смарт-контрактов

Это было 30 ноября 2022 года, когда был запущен ChatGPT. Это не заняло много времени, чтобы покорить мир. Независимо от того, какие социальные сети вы используете, в chatGPT есть посты, мемы, информационные статьи и многое другое. Мало того, chatGPT стал предметом обсуждения основных СМИ. Я не задумываюсь, когда говорю, что все говорили о chatGPT и его возможностях.

В этом блоге давайте обсудим, как chatGPT используется или может использоваться для аудита смарт-контрактов или кибербезопасности Web3. Давайте сначала начнем с того, что такое chatGPT.

Что такое ChatGPT?

ChatGPT — это интерактивный чат-бот, который принимает подсказки и возвращает ответы на основе своих обученных данных. У него замечательная способность вести разговорный диалог и давать ответы, которые могут показаться на удивление человеческими.

Кроме того, одна из вещей, которая делает его умнее, — это его уникальная способность продолжать учиться на входных данных пользователя; это реализовано на уровне обучения с подкреплением с обратной связью с человеком (RLHF), что помогает ему возвращать ответы, которые удовлетворяют людей. 

Тренировочные данные

Каждая модель ИИ — это не что иное, как обученная машина, которая дает ответы на основе своего обучения и результатов обучения. Обучающие данные могут быть чем угодно, от видео до текста, который передается модели, которая изучает эти данные, и когда этой модели предлагается проблема, основанная на изучении обучающих данных, она дает ответы. 

ChatGPT был обучен на данных, собранных из Интернета, включая такие источники, как обсуждения Reddit, чтобы помочь ChatGPT выучить диалог и добиться человеческого стиля ответа. chatGPT также обучается на обратной связи с людьми. Этот метод называется «Обучение с подкреплением с обратной связью с человеком», чтобы ИИ узнавал, чего люди ожидают, когда задают вопрос.

ChatGPT может находить уязвимости

Спустя долгое время после его выпуска люди начали экспериментировать с возможностями chatGPT в различных вариантах использования и сценариях. Этот эксперимент также был проведен в области безопасности смарт-контрактов.

И chatGPT нас точно не подвел. Тем не менее, его еще можно улучшить, но он оказался полезным и существенно помог аудиторам и людям, занимающимся смарт-контрактами. Когда дело доходит до известных взломов и некоторых взломов, которые были в системе уже довольно давно, их очень полезно отлавливать.

Некоторые из распространенных уязвимостей, которые chatGPT находит с некоторой точностью:

1. Рентерантная атака: Это распространенная уязвимость, при которой злоумышленник может неоднократно вызывать функцию в смарт-контракте до завершения предыдущего выполнения, что приводит к неожиданному или злонамеренному поведению.

2. Целочисленные переполнения/недополнения: Смарт-контракты часто полагаются на целочисленные вычисления, и если эти вычисления не проверяются должным образом, они могут привести к неожиданному или неправильному поведению.

3. Непроверенные возвращаемые значения: контракт может неправильно обрабатывать неожиданные возвращаемые значения из внешних вызовов, что может привести к потенциальной уязвимости и причинить вред.

4. Незащищенные функции: Контракт может не иметь надлежащего контроля доступа, что приводит к несанкционированному доступу к конфиденциальным функциям. Что может привести к большим потерям.

Есть и другие уязвимости и проблемы, которые chatGPT может идентифицировать со смарт-контрактами, и вы наверняка удивитесь, увидев их. Тем не менее, в ходе наших тестов мы обнаружили, что вы часто получаете ложную тревогу, и существует огромная вероятность того, что некоторые важные ошибки будут пропущены.

Может ли chatGPT найти все уязвимости?

Хотя chatGPT является полезным инструментом и прорывом в области искусственного интеллекта для масс, он все еще далек от совершенства, и его нельзя оставить для полной защиты смарт-контрактов.

Наш тест показал, что chatGPT поднял ложную тревогу для повторная атака, который уже охранялся и тестировался. Кроме того, было еще несколько ложных срабатываний, а самое главное, обнаруженная нашей командой критическая ошибка была полностью проигнорирована chatGPT. Давайте обсудим некоторые вещи, которые chatGPT может пропустить.

1. Логика проекта:- Основой проекта является его логика и то, как вещи взаимосвязаны, но chatGPT, похоже, упускает из виду это. В ходе тестов было обнаружено, что chatGPT часто не может найти критическую ошибку, связанную с логикой. Из-за сложности базовой инфраструктуры протокола chatGPT пропускает критические уязвимости, возникающие из-за взаимосвязи контрактов для выполнения логического требования проекта.

2. Неточные математические расчеты и статистические модели:- Когда дело доходит до проектов, будь то игровой проект, проект DeFi или что-то еще, это в основном связано с математическими расчетами и отношениями. Эти формулы часто не проверяются и не отслеживаются ChatGPT, а потенциальные ошибки упускаются.

3. Несоответствия в предполагаемом дизайне и реализации:- Много раз реализация разработчиками не так правильна, как должна быть, что приводит к проблемам с безопасностью. Это использовалось в прошлом и продолжает оставаться одним из основных секторов, которые можно улучшить, и chatGPT также немного невежественен в этом отношении.

Заключение

Когда дело доходит до безопасности и аудита web3, инструменты ИИ помогают, в этом нет никаких сомнений, но вопрос в том, достаточно ли этого? ответ - большое "НЕТ". Как уже говорилось, некоторые критически важные уязвимости могут быть легко упущены, и существует огромная вероятность ложных срабатываний. Эти ложные тревоги создают ложное ощущение, что chatGPT может идентифицировать все ошибки и заставить пользователя поверить в это, но реальность другая и может быть суровой, если мы будем зависеть только от инструментов ИИ.

ИИ может стать очень эффективным, но нам предстоит пройти долгий путь. Лучший способ повысить безопасность — это использовать как искусственный интеллект, так и ручной охват аспектов безопасности смарт-контрактов.

относительно безопасность смарт-контрактов, нет никакой замены для аудитов. Крайне необходимо пройти аудит, а без аудита никогда не может быть доверия среди пользователей, так как аудиторские отчеты много значат. Многие пользователи ищут аудиторский отчет, прежде чем доверять проектам. QuillAudits — одна из ведущих фирм в сфере аудиторских услуг. С более чем 700 защищенными проектами и многими другими, мы обеспечиваем полную безопасность протоколов. Посетите наш веб-сайт прямо сейчас и пройдите аудит вашего проекта.

20 Просмотры

• SEO-контент и PR-распределение. Получите усиление сегодня.
• Платоблокчейн. Интеллект метавселенной Web3. Расширение знаний. Доступ здесь.
• Источник: https://blog.quillhash.com/2023/04/03/beyond-the-hype-chatgpt-and-smart-contract-auditing/