Halo kawan-kawan pembaca setia! Tahukah kalian bahwa teknologi kecerdasan buatan atau Artificial Intelligence (AI) kini semakin canggih dan dapat digunakan untuk meretas kontrak pintar? Baru-baru ini, penelitian menunjukkan bahwa penggunaan AI dalam meretas kontrak pintar dapat menargetkan kerentanan lama yang sebelumnya tidak terdeteksi. Penasaran? Yuk, simak artikel ini sampai selesai!
Meretas kontrak pintar dengan AI dapat menargetkan kerentanan lama, penelitian menunjukkan:
Karena kecerdasan buatan (AI) terus berkembang, potensinya untuk menggantikan pekerjaan manusia telah menjadi topik perhatian. Salah satu bidang tersebut adalah audit kontrak pintar.
Sebuah eksperimen baru-baru ini yang dilakukan oleh OpenZeppelin, sebuah perusahaan keamanan blockchain terkemuka, berusaha untuk mengeksplorasi kemungkinan ini dengan mengadu ChatGPT-4, model AI yang dikembangkan oleh OpenAI, terhadap 28 tantangan Ethernaut yang dirancang untuk mengidentifikasi kerentanan kontrak pintar.
Tantangan Ethernaut adalah serangkaian teka-teki dan masalah yang dirancang untuk menguji dan meningkatkan pemahaman pengguna tentang kerentanan kontrak pintar ethereum (ETH).
Dibuat oleh OpenZeppelin, perusahaan keamanan blockchain terkemuka, tantangan ini adalah bagian dari platform seperti game yang disebut Ethernaut. Setiap tantangan menghadirkan kontrak pintar yang unik dengan kerentanan spesifik yang harus diidentifikasi dan dieksploitasi pemain untuk menyelesaikan tantangan.
Tingkat kesulitan berkisar dan mencakup berbagai kerentanan umum yang ditemukan dalam kontrak pintar, seperti serangan re-entrancy, underflows dan overflows, dan banyak lagi. Dengan mengatasi tantangan ini, pemain dapat memperoleh pemahaman yang lebih dalam tentang keamanan kontrak cerdas dan pengembangan ethereum.
Eksperimen melibatkan penyajian AI dengan kode untuk tingkat Ethernaut tertentu dan memintanya untuk mengidentifikasi kerentanan apa pun. GPT-4 mampu menyelesaikan 19 dari 23 tantangan yang diperkenalkan sebelum batas data pelatihannya pada September 2021.
Namun, itu bernasib buruk pada level terbaru Ethernaut, gagal pada 4 dari 5. Ini menunjukkan bahwa sementara AI dapat menjadi alat yang berguna untuk mengidentifikasi beberapa kerentanan keamanan, itu tidak dapat menggantikan kebutuhan akan auditor manusia.
Salah satu faktor penting untuk keberhasilan ChatGPT dengan level 1-23 adalah kemungkinan bahwa data pelatihan GPT-4 berisi beberapa penulisan solusi untuk level ini.
Level 24-28 dirilis setelah batas 2021 untuk data pelatihan GPT-4, sehingga ketidakmampuan untuk menyelesaikan level ini lebih lanjut menunjuk ke data pelatihan ChatGPT termasuk solusi yang dipublikasikan sebagai penjelasan yang mungkin untuk keberhasilannya.
Kinerja AI juga dipengaruhi oleh pengaturan “suhu”, yang memengaruhi keacakan responsnya. Dengan nilai yang mendekati 2, ChatGPT menghasilkan respons yang lebih kreatif, sementara nilai yang lebih rendah mendekati 0 menghasilkan jawaban yang lebih fokus dan deterministik.
Terlepas dari keberhasilannya, GPT-4 berjuang dengan tantangan tertentu, seringkali membutuhkan pertanyaan tindak lanjut khusus untuk mengasah kerentanan.
Dalam beberapa kasus, bahkan dengan panduan yang kuat, AI gagal menghasilkan strategi yang benar. Ini menggarisbawahi potensi alat AI untuk meningkatkan efisiensi audit ketika auditor tahu secara spesifik apa yang harus dicari dan bagaimana mendorong Model Bahasa Besar seperti ChatGPT secara efektif.
Namun, percobaan ini juga mengungkapkan bahwa pengetahuan keamanan yang mendalam diperlukan untuk menilai apakah jawaban yang diberikan oleh AI akurat atau tidak masuk akal. Misalnya, di Level 24, “PuzzleWallet,” GPT-4 menemukan kerentanan yang terkait dengan multicall dan secara keliru mengklaim bahwa penyerang tidak mungkin menjadi pemilik dompet.
Sementara percobaan menunjukkan bahwa analisis kontrak pintar yang dilakukan oleh GPT-4 tidak dapat menggantikan audit keamanan manusia, itu menunjukkan bahwa AI dapat menjadi alat yang berguna untuk menemukan beberapa kerentanan keamanan.
Mengingat pesatnya inovasi dalam blockchain dan pengembangan kontrak pintar, sangat penting bagi manusia untuk tetap mengikuti perkembangan vektor serangan dan inovasi terbaru di Web3.
Tim AI OpenZeppelin yang berkembang saat ini sedang bereksperimen dengan OpenAI serta solusi pembelajaran mesin khusus untuk meningkatkan deteksi kerentanan kontrak pintar. Tujuannya adalah untuk membantu auditor OpenZeppelin meningkatkan cakupan dan menyelesaikan audit dengan lebih efisien.
Terima kasih telah membaca artikel ini sampai selesai. Dengan adanya penelitian ini, diharapkan kita bisa lebih waspada dan mengambil tindakan yang tepat untuk mengatasi kerentanan lama dalam kontrak pintar dengan AI. Sampai jumpa di update artikel menarik berikutnya!
