Новый трубопровод для классификации и ремонта интеллектуальных контрактов в масштабе
2 июля 2025 г.Авторы:
(1) Абхинад Джайн, средняя школа Уэстборо, Вестборо, штат Массачусетс, и в равной степени внес свой вклад в эту работу (jain3abhinav@gmail.com);
(2) Эхан Масуд, Средняя школа Сансет, Портленд, Орегон, и в равной степени способствовал этой работе (ehanmasud2006@gmail.com);
(3) Мишель Хан, средняя школа Гранит Бэй, Гранит Бэй, Калифорния (Michellehan2007agt@gmail.com);
(4) Rohan Dhillon, школа Lakeside, Сиэтл, Вашингтон (rohand25@lakesideschool.org);
(5) Sumukh Rao, Bellarmine College College, Сан -Хосе, Калифорния (sumukhsf@gmail.com);
(6) Арья Джоши, Роббинсвилльская средняя школа, Роббинсвилл, Нью -Джерси (arya.joshi@gmail.com);
(7) Салар Чима, Университет Иллинойса, Шампейн, IL (salarwc2@illinois.edu);
(8) Саурав Кумар, Университет Иллинойса, Шампейн, Иллинойс (sauravk4@illinois.edu).
Таблица ссылок
Аннотация и I. Введение
II Методы
Iii. Результаты
IV Заключение, будущая работа и ссылки
Абстрактный- В современном актуальности технологии блокчейна интеллектуальные контракты представляют существенные риски и выгоды. Уязвимости внутри них могут вызвать каскад последствий, что приведет к значительным потерям. Многие текущие документы в первую очередь сосредоточены на классификации интеллектуальных контрактов на злонамеренные намерения, часто полагаясь на ограниченные характеристики контракта, такие как байт -код или OpCode. В этой статье предлагается новая двухслойная структура: 1) классификация и 2) непосредственно ремонт вредоносных контрактов. Отчет об уязвимости Slither сочетается с исходным кодом и проходит через предварительно обученный случайный классист (RFC) и крупные языковые модели (LLMS), классифицируя и ремонтируя каждую предложенную уязвимость. Эксперименты демонстрируют эффективность тонко настроенных и быстрых LLMS. Смарт-модели ремонта контрактов, построенные из предварительно обученных моделей GPT-3,5-Turbo и Menetuned Llama-2-7B, уменьшили общее количество уязвимости на 97,5% и 96,7% соответственно. Ручная проверка ремонтированных контрактов показывает, что все функциональность сохраняют, что указывает на то, что предлагаемый метод подходит для автоматической классификации пакетов и ремонта уязвимостей в интеллектуальных контрактах.
I. Введение
Когда мы углубимся в решающую роль, умные контракты играют в глобальном блокчейне, становится все более необходимым, что мы понимаем серьезность кибератак, которые используют слабый код. В 2018 году криптовалюты на сумму 23,5 млн. Долл. США были украдены из сети Bancor из -за компромисса кошелька, используемого для обновления интеллектуальных контрактов, что вызвало противоречие в Интернете по поводу безопасности децентрализованного обмена и систем смарт -контракта [16]. Совсем недавно, в 2020 году, хакер осушил финансирование урожая в размере 24 миллионов долларов, внедряя интеллектуальный контракт, который манипулировал ценностями акций хранилища [17]. Общая тема в этих взломах заключается в том, что уязвимости в интеллектуальных контрактах были использованы для кражи миллионов долларов, что подчеркивает важность укрепления интеллектуальных контрактов, чтобы предотвратить возникновение уязвимостей.
Умные контракты предоставляют безопасную платформу для транзакций без необходимости доверенного посредника. По этой причине они становятся все более распространенными в приложениях блокчейна. Но поскольку большинство приложений блокчейна не позволяют пользователям редактировать интеллектуальные контракты после их развертывания, существует необходимость в инструментах анализа, которые могут точно и точно определять уязвимости интеллектуальных контрактов. Хотя большинство инструментов основаны на разработанных экспертных рамках, недавние исследования начали разработать модели глубокого обучения, которые могут оценить уязвимость интеллектуального контракта. Тем не менее, большинство существующих моделей глубокого обучения не могут предоставить полезные отзывы о уязвимости интеллектуального контракта - вместо этого они определяют, является ли умный контракт уязвим.
DLVA [1] вводит трехэтапный подход, включающий картирование байт-кода с высокоразмерными векторами, классификацию векторов на основе данных обучения и использование нейронных сетей для вывода уязвимых контрактов. Однако значительной слабостью в этом подходе была высокая ложная положительная скорость в процессе прогнозирования. Аналогичным образом, MRN-GCN [5] использует глубокое обучение с графиком по сбору графика гнезда, захватывающей синтаксическую и семантическую информацию, позволяя классификации уязвимых функций, но, как [1], сохранил процент смешанного отзыва в диапазоне от 98,18% до 79,59%. Авторы [3] используют другой подход, предлагая механизмы голосования с одноранговым голосованием и вознаграждение и складывания, чтобы смягчить и препятствовать злонамеренному поведению в интеллектуальных контрактах.
Модели с большими языками (LLMS) оказываются исключительными в выполнении сложных задач. Авторы [8] продемонстрировали возможности различных LLM в определении уязвимостей в умных контрактах defi с F1-баллами, значительно выше, чем случайные базовые показатели, которые имеют потенциальный Arxiv: 2309.07841V1 [CS.CR] 14 сентября 2023, чтобы улучшить рамку улучшения инструмента, разработанная в [4]. Приглашенная инженерия позволяет LLMS быть существенно улучшенным. Один мощный метод быстрого разработки LLM включает в себя побуждение к цепочке мышления (COT) [2], который значительно улучшает способность LLMS выполнять сложные рассуждения. В восьми примерных примерах [2] достигает точность 56,9 на PALM-540B в эталоне GSM8K, демонстрируя повышение точности 39. Однако газета предпочитает полагаться исключительно на кроватку, полностью пренебрегая тонкой настройкой. В аналогичной реализации авторы [7] представляют структуру, которая улучшается на COT, путем переноса расширенных способностей рассуждений от крупных моделей на более мелкие из-за дистилляции знаний, что приводит к улучшению производительности вопросов. В другом сценарии [6] использовал быструю инженерию, предоставляя конкретную информацию CHATGPT, такую как цель перевода и целевая аудитория, что привело к качеству перевода в отрасли.
В комплексном опросе [11] описал текущий ландшафт безопасности смарт -контракта, определяя восемь основных методов защиты в 133 моделях. Этот вывод подчеркивает сложность поля, но также выявляет ограничения. Одно ограничение наблюдается при применении автоматических инструментов смарт -контракта к системам Defi [12]. Удивительно, но эти инструменты обнаружили только 8% атак, что указывает на проблему со сложными уязвимостями. Управляя это, [13] оценили пять инструментов обнаружения смарт -контрактов, сосредоточившись на трех типах уязвимостей. Анализ [13] определил, что различные модели обнаружения имеют различные силы и слабые стороны, предполагая, что комбинация методов может быть более эффективной. Кроме того, это понятие подтверждается [9] и [10], которые используют многозадачное обучение, комбинационный метод, который использует одновременное обучение и оптимизация нескольких задач. Примечательно, что [14] продвигает эту методологию, используя подход, который сочетает в себе кластеризацию K-средних и сети LSTM с универсальным кодером предложений. Этот подход понимал семантическое значение кода смарт -контракта, превосходя базовые модели.
Кроме того, текущая работа по ремонту интеллектуальных контрактов была надежной. Например, [19] использует структуру, называемую ContractFix для ремонта уязвимых, с точностью 94%. ContractFix был основан на статических анализаторах кода и была сосредоточена на ремонте сломанных пятен. Аналогичным образом, [15] использует инструмент Elysium для ремонта пятен в байт -коде для семи уязвимостей. Тем не менее, эта статья улучшает эти рамки двумя основными способами. Во-первых, наша структура построена на LLMS, которые позволяют создавать более надежный процесс ремонта, который адаптируется к уязвимости нулевого дня. Во -вторых, мы работаем напрямую с исходным кодом, который является новым подходом к ремонту уязвимостей.
Было показано, что эти существующие методы хорошо работают в обнаружении уязвимости в различных ситуациях с относительно небольшой статистической ошибкой. Тем не менее, мы показываем, что существующие методы обнаружения уязвимости сталкиваются с следующими проблемами: 1) отсутствие широкого подхода, 2) небольшие детали по конкретным ошибкам, 3) высокие ложноположительные оценки и 4) отсутствие прямой структуры ремонта. Чтобы решить все эти проблемы, мы предлагаем новый трубопровод. Сначала трубопровод используется Slither и RandomforestClassifier для обнаружения и предоставления конкретных уязвимостей в исходном коде смарт -контракта. После фильтрации неоплачиваемых контрактов два LLMS, GPT-3,5-Turbo и тонко настроенная модель Llama-2-7B, каждая из которых ремонтирует уязвимый исходный код смарт-контракта. Затем отремонтированный контракт оценивается с помощью его уязвимого аналога, оценивая эффективность ремонта.
Остальная часть этой статьи описана следующим образом: раздел II подробно описывает наш новый подход к трубопроводу, который использует два слоя для обнаружения уязвимости: Slither и RandomforestClassifier, для классификации уязвимых интеллектуальных контрактов и двух моделей LLM (Llama-2-7B и GPT-3.5-Turbo) для их ремонта. Раздел III демонстрирует результаты нашего подхода по сравнению с существующими методами. Раздел IV обеспечивает вывод.
Эта статья есть
Оригинал