OpenAI가 "왕炸" 제품 GPT-4를 출시했습니다. 스마트 계약의 취약점을 완벽하게 감지할 수 있을까요?

저자: Beosin

베이징 시간 3월 15일 새벽, 인공지능 스타트업 OpenAI가 최신 세대 인공지능 언어 모델 GPT-4를 공식 발표했습니다.

OpenAI는 이날 성명에서 GPT-4의 탄생이 OpenAI의 심층 학습 확대에 있어 최신 이정표라고 밝혔습니다.

그렇다면 진화한 GPT-4는 우리에게 어떤 놀라움을 안겨줄까요?

진화한 GPT-4, 도대체 얼마나 '대단'할까요?

OpenAI 공식 소개에 따르면, GPT-4는 초대형 다중 모달 모델로, 즉, 입력이 텍스트(최대 2.5만 자)일 수 있을 뿐만 아니라 이미지도 가능하다는 것입니다.

그 AI 능력의 무서운 점은 어디에 있을까요? 예를 들어 아래 사진에서 볼 수 있습니다.

당신이 그것에게 아래 그림에서 장갑이 떨어지면 어떻게 될지 물어보면,

그것은 이렇게 대답할 것입니다: "장갑은 나무판 위에 떨어지고, 공은 튕겨 나갈 것입니다. (이 논리적 능력, 상상할 수 있나요?)"

심지어 단순히 종이에 웹사이트의 초안 그림을 그리기만 하면, 그것은 해당 웹사이트를 인식할 수 있습니다.

사진을 찍어 GPT-4에 업로드하면, 즉시 웹사이트의 HTML 코드를 생성할 수 있습니다!

보시다시피, GPT-4는 GPT-3.5보다 더 신뢰할 수 있고, 더 창의적이며, 더 세밀한 지시를 처리할 수 있습니다.

그 외에도, ChatGPT-4는 내용 정확성과 논리적 능력이 이전 세대에 비해 상당히 향상되었습니다. 통합 변호사 시험(Uniform Bar Exam)에서 GPT-4는 90% 이상의 다른 사람들을 초과하는 성적을 기록했으며, GPT-3.5는 10%의 사람들만 초과했습니다. GPT-4는 SAT Math에서 700점을 기록했으며, GPT-3.5는 590점으로 110점 향상되었습니다. 다른 표준화 시험에서도 GPT-4의 성적은 GPT-3.5보다 훨씬 우수합니다.

공식 시연에서 GPT-4는 거의 1-2초 만에 손으로 그린 웹사이트 이미지를 인식하고, 요청에 따라 실시간으로 웹페이지 코드를 생성하여 거의 손으로 그린 버전과 같은 웹사이트를 제작했습니다.

일반 이미지 외에도, GPT-4는 표, 시험 문제 스크린샷, 논문 스크린샷, 만화 등 더 복잡한 이미지 정보를 처리할 수 있으며, 예를 들어 전문 논문에 따라 논문 요약 및 요점을 직접 제공할 수 있습니다.

이렇게 강력한데, 당신도 곧 실직할 것 같은 느낌이 드나요。

GPT-4는 논문을 해석할 수 있습니다. 출처: OpenAI 공식 홈페이지

ChatGPT4로 스마트 계약을 감사하면 어떤 일이 발생할까요?

우리는 작년 12월에 ChatGPT의 연구 기사를 발표하여 그것이 스마트 계약을 감사하면 어떤 일이 발생하는지 살펴보았습니다. 확장 읽기: 전국적으로 유행하는 '최강 AI' ChatGPT, 스마트 계약의 취약점을 감지할 수 있을까요?

3월 15일, Coinbase의 책임자 Conor Grogan은 소셜 미디어에 글을 올리며, 그가 ChatGPT-4에 실시간 이더리움 스마트 계약을 삽입했으며, 결과적으로 AI가 즉시 보안 취약점을 찾아내고, 이러한 취약점을 이용한 공격 방법까지 보여주었다고 밝혔습니다.

Conor Grogan은 해당 계약이 실제로 2018년에 해커에 의해 취약점을 이용해 공격당했다고 말했습니다. 그는 또한 Euler의 스마트 계약을 시도했지만 계약이 너무 길어 ChatGPT-4가 처리할 수 없었다고 밝혔습니다. Conor Grogan은 AI가 궁극적으로 스마트 계약을 더 안전하고 쉽게 구축할 것이라고 인정했습니다.

또한 일부 그룹 친구들은 ChatGPT가 이틀 전 Euler Finance의 약 2억 달러 도난 사건의 취약점을 감사할 수 있는 것 같다고 말했습니다. 관련 사건 읽기: Euler Finance 2억 달러 도난 사건의 전말, 이번 사건이 우리에게 어떤 교훈을 주었는가?

하지만, 정말 그렇게 간단할까요?

이미지 출처: 인터넷

사실 초기 GPT 모델과 마찬가지로, GPT-4는 여전히 일정한 한계를 가지고 있습니다.

OpenAI 공식은 그것이 완전히 신뢰할 수 없으며, 추론 오류가 발생할 수 있다고 밝혔습니다. "GPT-4는 대다수 데이터가 차단된 후(2021년 9월) 발생한 사건에 대한 이해가 부족하며, 그로부터 교훈을 얻을 수 없습니다… 때때로 간단한 추론 오류가 발생하며, 사용자의 명백한 허위 진술을 쉽게 믿고, 때때로 인간처럼 어려운 문제에서 실패할 수 있습니다. 예를 들어, 생성된 코드에 보안 취약점을 도입하는 경우가 있습니다."

이에 따라 OpenAI는 사용자가 언어 모델을 사용할 때 특히 주의해야 하며, 인간 검토를 보조하거나 추가적인 맥락을 제공하거나 고위험 상황에서의 사용을 완전히 피하는 것이 좋다고 경고했습니다.

ChatGPT VS Beosin VaaS, 계약 감사에서 누가 더 강력할까요?

Beosin의 형식 검증 전문가는 이렇게 말했습니다: "ChatGPT는 계약의 복잡한 패턴을 학습하고, 다양한 차원에서 계약을 이해하고 분류할 수 있으며, 정적 검출 기술을 강화하여 전문가 패턴을 증가시키고, 식별 가능한 취약점의 종류를 늘리며, 누락 보고율과 오보고율을 줄일 수 있습니다. 속성 기반 테스트 검증 기술과 도메인 속성 라이브러리와의 효과적인 연결을 통해 자동 계약 인식 및 속성 삽입을 실현하여 전자동 테스트 검증을 할 수 있습니다. 하지만 ChatGPT는 날로 발전하는 특정 분야의 심층 논리적 취약점을 인식하기 어려우며, 이러한 누락은 일반적으로 프로젝트 요구 사항과 밀접하게 결합되어 있어 도메인 보안 전문가가 심판 역할을 해야 하며, 지속적으로 귀납적으로 요약하여 도메인 속성 라이브러리를 형성하여 계약의 안전성을 판단해야 합니다."

우리는 또한 ChatGPT가 모든 문제를 해결할 수 없다는 것을 발견했습니다. 많은 취약점은 여전히 감사 전문가의 철저한 감사가 필요하거나 형식 검증 도구인 Beosin VaaS를 사용해야만 발견할 수 있습니다.

Beosin VaaS는 세계적으로 선도적인 '원클릭' 스마트 계약 형식 검증 플랫폼입니다. 검출 정확도는 97% 이상이며, 위험 코드 위치를 정확하게 찾아 수정 제안을 제공합니다. 80개 이상의 일반적인 보안 취약점 및 기능 논리 결함을 자동으로 감지합니다. Beosin VaaS는 스마트 계약 내의 일반적인 취약점, 비즈니스 논리 오류 등 보안 문제를 자동으로 발견하고 전문가의 수정 의견을 제공합니다. 또한 EVM, WASM의 모든 공공 블록체인 스마트 계약의 수백 가지 일반적인 보안 취약점 및 비즈니스 논리 결함 검출을 지원하며, 위험 코드 위치를 정확하게 찾아 개발자가 스마트 계약의 보안 능력을 향상시킬 수 있도록 돕습니다.

형식 검증 도구 Beosin VaaS: https://vaas.beosin.com/

예를 들어, 3월 15일에 경고한 Poolz Finance의 Locked Deal 계약이 공격당한 사건에서 공격자는 LockedDeal 계약 내의 취약한 함수 CreateMassPools를 호출했으며, 매개변수 _StartAmount에서 정수 오버플로우 취약점을 유발했습니다. 우리는 이 취약점이 VaaS 도구로 감지될 수 있다는 것을 테스트했지만, ChatGPT는 불가능했습니다.

동시에, k 값 검증의 심층 논리 문제도 ChatGPT는 감지하지 못했습니다.

Uniswap과 같은 DEX의 실제 교환 전송 작업은 Pair의 swap() 함수에서 구현되며, 공격자가 Router 계약을 우회하여 Pair 계약에서 swap() 전송을 직접 호출하는 것을 방지하기 위해 Pair 계약의 swap() 함수에서 K 값 검증을 수행해야 합니다. 즉, swap 후 pair의 K 값이 여전히 보존되어야 합니다. 만약 K 값 검증 관련 코드에 보안 취약점이 존재한다면, 공격자는 극소량의 토큰으로 Pair 내의 대부분의 토큰을 교환할 수 있습니다.

계약이 K 값을 검사하지 않는 cheapSwap 함수

우리는 K 값 검증 문제에 대한 연구를 통해 이 문제의 특징을 요약하고, VaaS 도구에서 사용할 수 있도록 이 문제의 일반 속성을 추출했습니다. 그 후, 우리는 노드 정보 분석을 통해 ETH와 BSC에서 총 14만 개의 주소의 계약 정보를 추출했습니다. 이 주소 계약은 모두 유사한 비즈니스 계약으로, K 값 검증 문제가 존재할 가능성이 있습니다.

형식 검증 도구 VaaS를 사용하는 것 외에도, Beosin 형식 검증 전문가는 보안 감사 전문가가 정리한 보안 문제를 엄격한 수리 논리로 추상화하여 재사용 가능한 보안 속성 불변량으로 만들고, 혼합 기계 엔진에 자동 검출, 테스트, 검증을 수행하도록 합니다. 이러한 재사용 가능한 보안 속성 불변량은 스마트 계약 내의 새로운 미세한 취약점을 효과적으로 발견할 수 있습니다. 이것은 ChatGPT와 같은 AI가 대체할 수 없는 부분입니다.

그러나 미국 《뉴욕 타임스》 웹사이트에 3월 8일 발표된 "ChatGPT의 성공 환상"이라는 제목의 기사에서 저자는 이렇게 썼습니다: "오늘날 우리가 인공지능 분야에서 이룬 이른바 혁신적인 발전은 실제로 우리를 낙관적이게도 하고 걱정스럽게도 합니다. 낙관적인 이유는 지혜가 문제를 해결하는 수단이기 때문이고, 걱정스러운 이유는 가장 인기 있고 최신의 인공지능(기계 학습)이 마치 바이러스 변종처럼 근본적인 결함이 있는 언어와 지식 개념을 우리의 기술에 통합하여 우리의 과학 수준을 낮추고 도덕 기준을 저하시킬까 두렵기 때문입니다."