Pourquoi ChatGPT est une arme contre les hackers

Le monde des cryptomonnaies n’échappe pas à la révolution ChatGPT. D’après certains tests, le modèle linguistique d’OpenAI est capable d’améliorer la sécurité de la blockchain… et de mettre des bâtons dans les roues des hackers.

Conor Grogan, chef de produit de la plate-forme d’échange de cryptomonnaies Coinbase, a mis à l’épreuve ChatGPT, l’incontournable robot conversationnel d’OpenAI. Dans un premier temps, il a demandé au chatbot, reposant sur le modèle GPT-3.5, de dénicher les éventuelles failles de sécurité d’un contrat intelligent déployé sur la blockchain Ethereum.

I dumped a live Ethereum contract into GPT-4.

In an instant, it highlighted a number of security vulnerabilities and pointed out surface areas where the contract could be exploited. It then verified a specific way I could exploit the contract pic.twitter.com/its5puakUW

— Conor (@jconorgrogan) March 14, 2023

Les smart-contracts, ou contrats intelligents, sont des programmes informatiques autonomes capables de s’exécuter lorsqu’une action est enregistrée sur la chaîne de blocs. Il est notamment possible de programmer le transfert de cryptomonnaies ou le déblocage de tokens. C’est grâce à eux que les protocoles de la finance décentralisée fonctionnent, comme les fameux ponts, ces passerelles entre les blockchains.

À lire aussi : 197 millions de dollars de cryptomonnaies volées grâce à une faille… et une tactique bien connue

ChatGPT peut identifier des failles de sécurité

À la demande de Grogan, ChatGPT a mis en évidence « un certain nombre de vulnérabilités de sécurité » en seulement quelques secondes. L’intelligence artificielle générative a aussi indiqué les domaines dans lesquels le contrat intelligent pourrait être exploité. Le chatbot a fini par détailler la méthode permettant d’exploiter le programme informatique défaillant.

Le modèle linguistique a épinglé le contrat intelligent comme étant un smart contract de « réentrée ». En clair, il permet de retirer à plusieurs reprises des fonds et les transférer. Un attaquant peut se servir du contrat pour siphonner tous les fonds contenus sur une plate-forme ou une passerelle, sans que le solde soit mis à jour. Ce type de contrats est à l’origine de plusieurs piratages. L’an dernier, le protocole de lending Ola Finance a par exemple perdu 3,6 millions de dollars à cause d’un contrat intelligent de « réentrée ». Peu après, le protocole Fuse développé par Rari Capital a été délesté de 80 millions de dollars de la même manière. Il n’est pas rare que les hackers s’appuient sur ce type de contrats pour s’attaquer à un protocole de la blockchain.

Par la suite, le cadre a demandé la même chose à GPT-4, la dernière version du modèle de langage derrière ChatGPT. La nouvelle déclinaison de l’IA a également débusqué les brèches de sécurité du contrat. Comme le note le cadre de Coinbase, la réponse est très similaire à celle du ChatGPT animé par GPT-3.5. Elle est seulement mieux formatée et contient davantage de commentaires. Elle nous semble aussi plus claire.

Heh, its a lot more focused on formatting/comments. Similar gist though pic.twitter.com/VrkqgRHvvV

— Conor (@jconorgrogan) March 14, 2023

Notez que Grogan croyait s’être servi de GPT-4 dans son tweet initial. Il s’avère que le responsable n’avait pas activé le nouveau modèle avant son test, comme le montre le logo d’Open AI sur les captures. Celui-ci est vert. Or, lorsque vous utilisez GPT-4, le logo devient noir. Alerté par des commentaires sur Twitter, il a fait le même test avec GPT-4.

« Je crois que l’IA contribuera à rendre les contrats intelligents plus sûrs et plus faciles à construire, deux des plus grands obstacles à l’adoption massive », prophétise Conor Grogan.

Une arme contre les piratages

Pour tester le raisonnement de ChatGPT, Conor Grogan s’est appuyé sur un contrat intelligent piraté en 2018. Des informations concernant les failles de sécurité du smart contract sont apparues en ligne à la même époque. De facto, la base de données ayant permis d’entraîner GPT doit contenir des informations sur ces failles. Privé d’accès Internet, ChatGPT s’appuie en effet sur des données antérieures à 2021. À ce stade, on ignore donc si le robot a simplement pioché dans sa base de données, en ressortant les bonnes informations, ou s’il est parvenu à dénicher les vulnérabilités de lui-même.

Malgré ce doute persistant, ChatGPT reste un atout de taille pour contrer les pirates. Avant de signer un contrat intelligent sur la blockchain, les internautes peuvent désormais vérifier, en quelques secondes et sans connaissances poussées, si celui-ci représente un danger. Il n’est pas rare que les hackers déploient des contrats frauduleux pour siphonner les actifs numériques détenus sur un portefeuille. Avec l’aide de ChatGPT, tous les investisseurs peuvent prendre de nouvelles précautions pour éviter les pièges.

Pour Tommy Deng, directeur général de la firme de sécurité Beosin, trop de développeurs crypto négligent encore d’auditer leurs protocoles avant de les déployer, essentiellement pour gagner du temps. Les failles sont alors repérées par des pirates, qui s’en servent pour gagner de l’argent en quelques clics. Les intelligences artificielles génératives, comme ChatGPT, pourraient venir combler ce besoin d’un audit rapide.

En parallèle, les pirates se sont également mis à exploiter l’intelligence artificielle dans le cadre de leurs activités. Certains cybercriminels se servent de l’IA pour rédiger des mails de phishing convaincants, pour coder des ransomwares ou pour réaliser des vidéos YouTube destinées à piéger les internautes.

Source : Finbold