Агрегатор децентралізованих фінансів (DeFi) ParaSwap виявив уразливість у своєму нещодавно запущеному контракті Augustus V6 і запобіг колосальній втраті коштів завдяки своєчасному втручанню.
18 березня запрацював ParaSwap Augustus v6, який обіцяє більшу ефективність обміну плати за газ, ніж усі попередні контракти. Контракт містив критичну вразливість, яка дозволяла хакерам викачувати кошти після схвалення.
Невдовзі після виявлення вразливості, 20 березня, ParaSwap призупинив програмний інтерфейс програми v6 (API) і захистив кошти потенційних жертв за допомогою білого злому.
ParaSwap порадив усім користувачам відкликати дозволи на контракт Augustus v6, щоб уникнути подальшої втрати коштів, доки вразливість не буде нейтралізовано.
Незважаючи на проактивні зусилля ParaSwap скасувати вразливий контракт версії 6 і повідомити користувачів також про вжиття необхідних заходів, хакеру вдалося перевести кошти на суму приблизно 24 000 доларів США з чотирьох різних адрес.
Загалом ParaSwap виявив, що вразливість уражена 386 адресами. Протокол також просив користувачів повідомляти про будь-які втрати коштів, які могли залишитися невідомими під час попереднього розслідування.
Крім того, ParaSwap також деактивував підтримку вразливого контракту v6 у своєму нещодавно оновленому інтерфейсі користувача (UI) і повернувся до використання v5. «Ми успішно відновили кошти за всіма адресами, і докладніше про процес відшкодування буде надано найближчим часом», – додала компанія.
ParaSwap не відразу відповів на запит Cointelegraph про коментар.
Постраждалі користувачі залишаються під загрозою, доки вони не відкликали свої схвалення, тому ParaSwap рекомендує людям використовувати служби перевірки експлойтів, такі як Revoke, щоб підтвердити свою безпеку. Ознайомтеся з посібником Cointelegraph про те, як визначити та пом’якшити вразливі місця смарт-контрактів.
Пов’язане: уразливість Old Trust Wallet iOS від 2018 року все ще може впливати на деякі облікові записи
Інструменти генеративного штучного інтелекту (ШІ), такі як ChatGPT-4, добре справляються зі створенням і розбором кодів. Однак інструменти не працюють як повністю надійний аудитор безпеки.
Згідно з нещодавно опублікованою дослідницькою статтею двох дослідників із Salus Security, компанії безпеки блокчейну з офісами в Північній Америці, Європі та Азії:
«GPT-4 може бути корисним інструментом для допомоги в аудиті смарт-контрактів, особливо в аналізі коду та наданні підказок про вразливості. Однак, враховуючи його обмеження у виявленні вразливостей, наразі він не може повністю замінити професійні інструменти аудиту та досвідчених аудиторів».
Згідно з їхніми висновками, ChatGPT добре справляється з виявленням справжніх позитивних моментів — фактичних уразливостей, які, поза межами середовища тестування, варто було б дослідити. Він досяг понад 80% точності під час тестування.
