Агрегатор децентрализованных финансов (DeFi) ParaSwap обнаружил уязвимость в своем недавно запущенном контракте Augustus v6 и предотвратил колоссальную потерю средств благодаря своевременному вмешательству «белого хакера».
18 марта вступил в силу контракт ParaSwap Augustus v6, целью которого является повышение эффективности обмена и снижение платы за газ. Однако в контракте содержалась критическая уязвимость, позволяющая хакерам выводить средства в случае одобрения.
Вскоре после обнаружения уязвимости 20 марта ParaSwap (PSP) приостановила работу интерфейса прикладного программирования (API) версии 6 и обезопасила средства потенциальных жертв посредством взлома «белой шляпы».
Источник: ParaSwap.
ParaSwap посоветовал всем пользователям отозвать разрешения на контракт Augustus v6, чтобы избежать дальнейшей потери средств до тех пор, пока уязвимость не будет нейтрализована.
Несмотря на активные усилия ParaSwap по откату уязвимого контракта v6 и информированию пользователей о необходимости принятия необходимых мер, хакеру удалось обналичить средства на сумму около 24 000 долларов США с четырех разных адресов.
Всего ParaSwap выявила, что уязвимостью затронуто 386 адресов. Протокол также просил пользователей сообщать о любых потерях средств, которые могли остаться незамеченными в ходе предварительного расследования.
ParaSwap выявила 386 адресов кошельков, затронутых уязвимостью контракта Augustus v6. Источник: paraswap.notion.site
Кроме того, ParaSwap также деактивировала поддержку уязвимого контракта v6 в своем недавно обновленном пользовательском интерфейсе (UI) и вернулась к использованию v5.
«Мы успешно вернули средства по всем адресам, и более подробная информация о процессе возврата будет предоставлена в ближайшее время», — добавили в компании.
Затронутые пользователи остаются в зоне риска до тех пор, пока они не отозвали свои разрешения, и ParaSwap рекомендует им использовать службы проверки эксплоитов, такие как Revoke, чтобы подтвердить свою безопасность. Ознакомьтесь с руководством, как выявлять и устранять уязвимости смарт-контрактов.
Инструменты генеративного искусственного интеллекта (ИИ), такие как ChatGPT-4, хорошо генерируют код. Однако эти инструменты не могут выступать в качестве полностью надежного аудитора безопасности.
Согласно недавно опубликованному исследованию двух исследователей из Salus Security, компании по обеспечению безопасности блокчейнов с офисами в Северной Америке, Европе и Азии:
«GPT-4 может быть полезным инструментом, помогающим при аудите смарт-контрактов, особенно при анализе кода и предоставлении подсказок об уязвимостях. Однако, учитывая ограничения в обнаружении уязвимостей, в настоящее время он не может полностью заменить профессиональные инструменты аудита и опытных аудиторов».
Согласно их выводам, ChatGPT хорошо обнаруживает настоящие позитивы — реальные уязвимости, которые стоило бы исследовать за пределами среды тестирования. Точность испытаний достигла более 80%.