2022?年?11?月,OpenAI?推出了創新的人工智能項目。
除了可用于進行文章的撰寫和總結、笑話和詩歌的創作以外,ChatGPT?還可以用來調試和生成代碼。
2022?年全年,Web3.0??領域因黑客攻擊和欺詐等事件造成的資產損失超過了?37?億美元,這樣巨額損失不禁讓業內人思考:如?ChatGPT?這樣的新技術是否可以用以改善智能合約代碼的安全性。
ZKasino?是一個去中心化的平臺,近期通過?ChatGPT?進行了一次預審計。
ZKasino?希望在?CertiK?開展全面審計的同時,讓?CertiK?為?ChatGPT?所得出的結果進行一個初步的審查,以測試?ChatGPT?作為?AI「智能合約審計師」的能力。
那么?ChatGPT?的測試結果如何呢?
其是否已經準備好接替人工代碼審計專家的工作?
或者說它仍不足以完全替代人工?
去中心化機器學習協議ChainML獲IOSG Ventures領投400萬美元:金色財經報道,由經驗豐富的技術高管和機器學習專家創建的全球初創公司ChainML宣布籌集400萬美元的種子資金,該公司正在為去中心化機器學習和Web3中相關復雜數據驅動計算構建防篡改、可擴展協議。本輪融資由IOSG Ventures領投,HashKey、SNZ、硅谷高管和天使投資者參與。
ChainML計劃利用本輪融資創建其ChainML協議的第一個迭代,簡化智能合約、dapp和錢包中AI和機器學習模型的使用。(the block)[2022/9/28 5:55:46]
2022?年?12?月?23?日,ZKasino「聘請」了?ChatGPT?來識別智能合約中潛在的安全風險。該工具也的確提出了幾個表面上聽起來很合理的風險擔憂。
然而,盡管?ChatGPT?不可否認地為Web3.0?安全社區提供了一些有價值的服務,但是我們發現其仍有相當大的改進空間——ChatGPT?遺漏了一些嚴重或關鍵性的漏洞,同時又「誤傷」了那些沒問題的代碼。在此,我們希望?CertiK?安全專家的深度數據和建議能夠助力?ChatGPT?成為一個更強大的Web3.0?應用安全工具。
跨鏈 DEX O3 Interchange 啟動公測,支持多條公鏈及二層網絡:6月9日消息,O3 Labs 宣布跨鏈 DEX O3 Interchange 啟動公測,將首先支持以太坊、BNB Chain、Polygon、Arbitrum、Fantom、Gnosis、 Optimism 上所支持的任意主流和長尾資產之間的跨鏈交易。此外,O3 Interchange 還支持通過 Gas Staition 交易所支持的網絡上的原生 Gas 代幣。[2022/6/9 4:13:45]
下文,我們將為大家詳細介紹此次事件中?ChatGPT?的兩類錯誤發現。
ChatGPT?發現了合約中的哪些問題?
ChatGPT?遺漏了什么
ChatGPT?提到了在許多智能合約實現中都會存在的幾個常見安全問題。
但是,它未能識別某些嚴重的風險,包括:
項目特定的邏輯漏洞
不準確的數學計算和統計模型
瑞士加密交易所SIX Digital Exchange成功發行規模約1.62億美元的全球首筆數字債券:11月19日消息,瑞士主要證券交易所運營商 SIX Group 旗下數字資產子公司 SIX Digital Exchange (SDX)宣布成功發行全球首筆數字債券,總規模為 1.5 億瑞士法郎(約合1.62 億美元),這是一筆于2026 年到期的高級無擔保數字瑞士法郎債券。報道稱,此次發行是世界上第一次在完全監管的環境中發行純數字部分的債券,獲得了數次超額認購,并吸引了瑞士廣泛的機構投資者群體的濃厚興趣。瑞士信貸、瑞銀投資銀行和 Zürcher Kantonalbank 擔任本次債券發行的聯席牽頭經辦人。SDX 使用 R3 提供的許可 Corda 架構構建,并作為數字資產的集成交易、結算和托管基礎設施運行。SIX 全球市場主管 Thomas Zeeb 表示:“SIX Digital Exchange 首次發行代幣化債券及其在市場上的上市和配售證明,分布式賬本技術(DLT)在高度監管的資本市場中也非常有效”。(coindesk)[2021/11/19 6:59:02]
代碼實現和項目設計的不一致
Michael Saylor:土耳其可以在的中央銀行國庫中購買價值50億美元的比特幣:金色財經報道,根據個人財務比較網站Finder的報告,比特幣將在2050年之前取代法定貨幣,處于 \"超比特幣化 \"的狀態,人們期待著比特幣超越全球金融的時刻。事實上,最近MicroStrategy首席執行官Michael Saylor也響起了類似的調子,他說 \"比特幣是造王者\"。全球越來越多的投資者,包括機構和散戶,都將比特幣作為對沖價格上漲的工具。然而,Saylor對那些與經濟危機作斗爭的國家有不同的建議。他認為,土耳其可以在他們的中央銀行國庫中購買價值50億美元的比特幣,然后這將在未來五年內價值500億美元。它可以加強他們的貨幣,土耳其的5000萬人將在本質上擁有一個土耳其里拉,這將是比特幣的衍生品。此前,摩根大通在一份說明中提到,機構投資者認為比特幣是比黃金更好的通脹對沖工具。(ambcrypto)[2021/10/19 20:39:34]
漏洞#1?:項目特定的邏輯問題
ChatGPT?未能識別出一個關鍵漏洞,該漏洞會導致攻擊者可以不斷地贏取并耗盡?Bankroll?合約中用戶的資金。玩家可以通過調用可驗證隨機函數加入游戲,Chainlink?的?VRF?會使用隨機數觸發?fulfillRandomWords()函數以完成游戲。
ECOChain獲得創世資本戰略投資:據ECOC官方消息,ECOChain(ECOC)于近日獲得創世資本戰略投資。
Genesis Group (創世資本)成立于2017年,是中國領先的專注區塊鏈領域服務的金融機構,集團旗下包括數字貨幣基金 Genesis Capital、浸入式孵化Genesis Lab、精品式投行Genesis IB 三大業務板塊。
ECOChain是一個基于POS共識算法的全結構公有鏈系統,其底層以高安全性技術為支撐,在高TPS的基礎上兼顧了高區塊容量,并通過VM智能合約實現了跨鏈。ECOChain目前正在深入開發原子計算神諭系統以及POL定位系統,前者將于本月進入內測階段。[2020/7/24]
ZKasino?的代碼允許用戶在?fulfillRandomWords()?調用失敗的情況下將資金取回。
在?CertiK?對同一智能合約代碼的審查中,發現了一個潛在且有害的_transferPayout()調用,該函數被設計為可將贏取的資金轉移至玩家的賬戶。
然而攻擊者可以在輸了的時候調用_transferPayout()使其回滾,導致整個?fulfillRandomWords()調用失敗——這會使其進入長為?100?個區塊的等待期,繼而觸發?CoinFlip_Refund()進行退款,這意味著攻擊者相當于永遠不會輸錢。
雖然?ChatGPT?認識到了調用失敗的問題,但卻未能發現在這個項目中利用調用失敗的攻擊手法。
因此,ChatGPT?沒有發現該漏洞與項目邏輯相結合所產生的影響。有關具體攻擊流程的描述,請參閱?ZKasino?的完整審計報告。
漏洞#2?:不準確的數學計算和統計模型
確保滿足合理預期的隨機性和結果在任何游戲項目中都至關重要。為了證實這一點,需要在審計過程中對所有游戲結果的隨機性進行全面評估。
盡管?ChatGPT?同樣「認同」這一點的重要性,但它并未發現任何不公平的游戲結果。它提出了?VRF?的使用,以及如果?VRF?合約被破壞或被操縱,可能會出現不公平的結果:
“如果?VRF?合約不安全或被操縱,則可能會導致游戲出現不公平的結果。”
然而,這個結論僅僅只是一個結論,并沒有真正解決導致游戲結果不公平的根本原因。而且我們在審計過程中也發現了一些關于隨機性的潛在風險問題。
不公平的隨機性
發現的其中一個關于隨機性的中等級別風險是?VideoPoker?游戲中不公平的隨機數使用問題,玩家獲得某些牌的機會較少。
小數截斷
另一個風險問題是在骰子類游戲中發現的,它允許玩家選擇特定的倍數來使他們的預期收益最大化。
漏洞#3?:代碼實現和項目設計的不一致
ChatGPT?往往能夠理解單一函數的實現,卻無法理解這樣寫的根本原因。
例如,它可能了解某個函數在技術層面是怎樣執行的,但他無法理解在整個智能合約中,該函數有著什么樣的目的。
為了確保?ChatGPT?在編碼中不出問題,它需要更好地理解智能合約的代碼邏輯。
就目前的情況而言,ChatGPT?提供的是對代碼的表面閱讀。為了使其審計工作和水平更上一層樓,它必須學會從一個函數反向推導出其初始邏輯——這點非常重要。
不正確的輸入驗證
我們在?Plinko?合約中發現了一個輸入驗證問題,導致倍數設置不正確。
根據?ZKasino?的說法,Plinko?中使用的行數應該是?8?到?16?。但是,由于以下檢查中的錯誤,Bankroll?合約所有者可以通過函數?setPlinkoMultipliers()設置一個超出預期范圍的行數值。
代碼顯示,如果?numRows?和?risk?均不滿足條件,該流程將被回滾。
但是,如果兩個條件中只有一個不滿足,那么檢查仍然會通過,并且代碼不會被回滾。
ChatGPT?在回答第二個問題時給出了不同的答案:該函數檢查“numRows”的值是否在?8?到?16?之間,以及“risk”的值是不是小于?3?。如果不滿足上述任一條件,函數將返回錯誤“InvalidNumberToSet”。
ChatGPT?似乎理解了這個函數的目的。然而,它并不具備相應的應用程序知識,在沒有額外信息的情況下也無法識別真正的漏洞。
值更新的不一致
在?Slots?合約中,發現了與?totalValue?更新不一致相關的問題,這可能導致游戲過早結束。totalValue?用于監控用戶的輸贏,但它只跟蹤了支付情況,卻未從實際游戲中扣除,導致用戶的損益計算錯誤。
寫在最后
盡管經過了相應培訓,但?ChatGPT?在其審計中還是遺漏了某些關鍵性的安全問題。這是由于人工智能在充分理解代碼的復雜性和細微差別方面的局限性,以及其缺乏在現實場景中的實踐經驗。
正如其官網所述,ChatGPT?是一個依賴自然語言處理進行對話的研究版本。它通常無法像人類審計專家那樣去理解代碼背后的意圖和邏輯推理。
因此,重要的是需要通過經驗豐富的安全專家的手動審計來補充?ChatGPT?分析的不足之處,以確保全面的準確性。
下圖強調了基于人工的服務以及?ChatGPT?在各種標準上的優勢和劣勢。
就像是我們使用百度翻譯一樣,英文翻譯結果的準確性往往取決于我們的中文措辭——ChatGPT?回答的有效性在很大程度上取決于?prompt的格式。
在本文中,我們將?ZKasino?與?ChatGPT?交互的預審計結果和?CertiK?專家執行的最終審計結果進行了比較。
隨著技術的進步和對?prompt?工程的更清晰的理解,工程師將能夠更好地利用ChatGPT。
在?CertiK?官方公眾號接下來發布的內容中,我們將會就如何向?ChatGPT?提出有效問題來與大家探討?prompt?工程的更多深入性內容。
但是現在,ChatGPT?甚至已經可以幫助我們參加奪旗比賽了:歡迎大家點擊閱讀!
就在昨天一則BNX拆分之后的新游戲出現在了大眾視野、也成功為BNX帶來的新的流量。新的游戲模式還是大家比較熟悉的ponzi機制。游戲的玩法十分的簡單、這邊就不多贅述了.
1900/1/1 0:00:00一、項目簡介? FTN是fastx生態系統的官方加密貨幣,也是由領先的科技巨頭SoftConstruct開發和策劃的fastx鏈的原生代幣.
1900/1/1 0:00:00雖然區塊鏈行業發展已十年有余,但如果以太坊要與Web2巨頭相抗衡,并在軟件領域占據一片天地,就需要達到互聯網級別的規模,但現在沒有一個擴容方案或L1可以支持.
1900/1/1 0:00:00在“熱門”PCE數據打擊美國股市并將DXY從崩盤邊緣拉回來后,比特幣未能突破。由于美國宏觀經濟數據顯示通脹回升,比特幣(BTC)在2月24日華爾街開盤時保持低位.
1900/1/1 0:00:00FIL跌至38.2%斐波那契水平的關鍵支撐位。需求有所改善,但情緒幾乎降至中性水平。Filecoin是過去一周的主要輸家之一.
1900/1/1 0:00:00尊敬的XT.COM用戶:XT.COM作為致力於為全球優質的數字資產提供優質服務的交易平臺。平臺會定期對已上線的幣種進行綜合性審核,以確保平臺幣種的高水準交易.
1900/1/1 0:00:00