Агрегатор децентрализованных финансов (DeFi) ParaSwap обнаружил уязвимость в своем недавно запущенном контракте Augustus V6 и предотвратил колоссальную потерю средств благодаря своевременному вмешательству белых.
18 марта был запущен ParaSwap Augustus v6, обещая более высокую эффективность в обмене сборов за газ, чем все предыдущие контракты. Контракт содержал критическую уязвимость, которая позволяла хакерам выводить средства в случае одобрения.
Вскоре после обнаружения уязвимости, 20 марта, ParaSwap приостановила работу интерфейса прикладной программы (API) v6 и обезопасила средства потенциальных жертв с помощью белого взлома.
ParaSwap посоветовал всем пользователям отозвать разрешения на контракт Augustus v6, чтобы избежать дальнейшей потери средств до тех пор, пока уязвимость не будет нейтрализована.
Несмотря на активные усилия ParaSwap по откату уязвимого контракта v6 и информированию пользователей о необходимости предпринять необходимые шаги, хакеру удалось вывести средства на сумму около 24 000 долларов с четырех разных адресов.
Всего ParaSwap выявила, что уязвимостью затронуто 386 адресов. Протокол также просил пользователей сообщать о любых потерях средств, которые могли остаться незамеченными в ходе предварительного расследования.
Кроме того, ParaSwap также деактивировала поддержку уязвимого контракта v6 в своем недавно обновленном пользовательском интерфейсе (UI) и вернулась к использованию v5. «Мы успешно вернули средства по всем адресам, и более подробная информация о процессе возврата будет предоставлена в ближайшее время», — добавили в компании.
ParaSwap не сразу ответил на запрос Cointelegraph о комментариях.
Затронутые пользователи остаются под угрозой до тех пор, пока они не отозвали свои разрешения, поэтому ParaSwap рекомендует людям использовать службы проверки эксплойтов, такие как Revoke, чтобы подтвердить свою безопасность. Ознакомьтесь с руководством Cointelegraph о том, как выявлять и устранять уязвимости смарт-контрактов.
Связанный: Уязвимость старого Trust Wallet iOS 2018 года все еще может повлиять на некоторые учетные записи
Инструменты генеративного искусственного интеллекта (ИИ), такие как ChatGPT-4, хорошо генерируют и анализируют коды. Однако эти инструменты не могут выступать в качестве полностью надежного аудитора безопасности.
Согласно недавно опубликованному исследованию пары исследователей из Salus Security, компании по обеспечению безопасности блокчейн с офисами в Северной Америке, Европе и Азии:
«GPT-4 может быть полезным инструментом, помогающим при аудите смарт-контрактов, особенно при анализе кода и предоставлении подсказок об уязвимостях. Однако, учитывая ограничения в обнаружении уязвимостей, в настоящее время он не может полностью заменить профессиональные инструменты аудита и опытных аудиторов».
Согласно их выводам, ChatGPT хорошо обнаруживает настоящие позитивы — реальные уязвимости, которые стоило бы изучить за пределами среды тестирования. Точность испытаний достигла более 80%.
