У роботі обґрунтовано актуальність забезпечення безпеки смарт-контрактів у блокчейн-екосистемах, зокрема в децентралізованих фінансах, які оперують значними фінансовими активами та залишаються вразливими до помилок коду. Метою дослідження є підвищення ефективності за відповідними метриками виявлення, класифікації та локалізації вразливостей у смарт-контрактах за рахунок розробки моделей та методів машинного навчання, які становлять цілісний технологічний стек інтелектуального аналізу вихідного коду смарт-контрактів.
Об’єктом дослідження є процеси виявлення, класифікації та локалізації вразливостей у смарт-контрактах, предметом – методи та моделі машинного навчання для багатоміткового виявлення, класифікації та локалізації вразливостей у смарт-контрактах. Сформульовано завдання: створення збалансованого датасету з анотацією вразливостей; розроблення моделей багатоміткової класифікації; підвищення надійності через калібрування й аналіз стійкості до змін коду; створення слабосупервізованих методів локалізації без токенної розмітки; апробація запропонованих рішень у програмному засобі.
У першому розділі здійснено систематичний аналіз формальних методів, статичного та динамічного аналізу, а також підходів машинного навчання. Проаналізовано трансформерні моделі для коду (CodeBERT, GraphCodeBERT), графові нейронні мережі та гібридні архітектури. Визначено проблеми нестачі фрагментної розмітки, низької стійкості до рефакторингу та надмірної впевненості моделей.
У другому розділі запропоновано комбінований метод формування збалансованого датасету, що поєднує детерміноване інжектування типових вразливостей у безпечний код і контекстно узгоджену генерацію прикладів великою мовною моделлю з подальшою верифікацією. Сформовано корпус із п’яти категорій по 1000 прикладів кожна. Метод забезпечує відтворюваність, реалістичність синтаксичних варіацій і баланс класів.
У третьому розділі розроблено комплексний підхід до багатоміткової детекції та слабосупервізованої локалізації. Запропоновано модель CodeBERT-GDLA (Graph-aware Dual-Level Attention). Удосконалено механізм уваги шляхом інтеграції графових компонентів та навчуваних коефіцієнтів структурного впливу. Запропоновано CAM-узгоджену увагу та причинно-орієнтовану регуляризацію для інтерпретованої локалізації без токенної розмітки.
Експерименти показали, що CodeBERT-GDLA перевершує базові моделі за macro-F1, macro-AUC і Hamming loss. Для задач локалізації досягнуто високих значень mAP і Hit@K (для повторного входу mAP ≈ 82%, Hit@5 ≈ 77%, Hit@7-10 ≈ 100%) зі стабільними результатами. Проведено абляційний аналіз та дослідження стійкості до рефакторингу, перейменування, форматування та часткової обфускації. Для зниження надмірної впевненості інтегровано метод регуляризації з оптимізацією очікуваної калібрувальної похибки, що забезпечило зменшення ECE та підвищення надійності ймовірнісних оцінок.
У четвертому розділі представлено програмний засіб аудиту смарт-контрактів на основі моделі CodeBERT-GDLA з REST-інтерфейсом та можливістю інтеграції в CI/CD-конвеєри.
Наукова новизна полягає у тому, що: вперше запропоновано комбінований метод формування навчального датасету за рахунок поєднання автоматичного інжектування аномальних конструкцій у коректний код смарт-контрактів із генерацією додаткових прикладів великою мовною моделлю з подальшою верифікацією, що дозволило забезпечити збалансованість вибірки; вперше побудовано модель CodeBERT-GDLA на основі вдосконалення архітектур BiGRU-ATT і CodeBERT-BiGRU за допомогою запропонованих методів графового зсуву і дворівневої графово-орієнтованої уваги, що дозволило підвищити ефективність виявлення та класифікації вразливостей при інтелектуальному аналізі вихідного коду смарт-контрактів; удосконалено метод регуляризації для калібрування ймовірнісних оцінок багатоміткової класифікації вразливостей смарт-контрактів за рахунок застосування оптимізації очікуваної калібрувальної похибки, температурного масштабування та фокального приглушення надмірної впевненості безпосередньо в процесі навчання моделі CodeBERT-GDLA, що забезпечує зниження її надмірної впевненості та підвищує надійність результатів інтелектуального аналізу вихідного коду смарт-контрактів; отримав подальший розвиток метод слабосупервізованого виділення вразливих фрагментів коду за рахунок інтеграції CAM-узгодженої уваги з причинно-орієнтованою регуляризацією, що забезпечує підвищення ефективності локалізації вразливостей при інтелектуальному аналізі вихідного коду смарт-контрактів.
Практичне значення результатів полягає у створенні програмно-алгоритмічних засобів автоматизованого аудиту смарт-контрактів із багатомітковою детекцією, пояснюваною локалізацією та надійними ймовірнісними оцінками. Результати впроваджено у діяльність ТОВ НВО «Діскрет», НВП «КАРЕ» та в освітній процес НУ «Одеська політехніка».
