Kewangan terdesentralisasi (DeFi) aggregator ParaSwap telah menemui kelemahan dalam kontrak Augustus v6 yang baru dilancarkan dan mengelakkan kerugian dana yang besar melalui campur tangan white hat yang tepat pada masanya.
Pada 18 Mac, kontrak ParaSwap Augustus v6 dilancarkan dengan matlamat untuk meningkatkan kecekapan pertukaran dan mengurangkan yuran gas. Walau bagaimanapun, kontrak tersebut mengandungi kelemahan yang kritikal, membenarkan penceroboh untuk mengalirkan dana apabila diluluskan.
Selepas menemui kelemahan pada 20 Mac, ParaSwap menghentikan antara muka pemrograman aplikasi (API) v6 dan mengamankan dana mangsa yang berpotensi melalui serangan white hat.
ParaSwap menasihatkan semua pengguna untuk mencabut kebenaran kepada kontrak Augustus v6 untuk mengelakkan kerugian dana yang lebih lanjut sehingga kelemahan tersebut dinetralkan.
Walaupun usaha proaktif ParaSwap untuk mengembalikan kontrak v6 yang rentan dan memberitahu pengguna untuk mengambil langkah-langkah yang perlu, penceroboh berjaya mengeluarkan dana bernilai kira-kira $24,000 dari empat alamat yang berbeza.
Secara keseluruhan, ParaSwap mendedahkan bahawa 386 alamat terjejas oleh kelemahan tersebut. Protokol tersebut juga meminta pengguna untuk melaporkan sebarang kerugian dana yang mungkin tidak dikenal pasti semasa siasatan awal.
Selain itu, ParaSwap juga menonaktifkan sokongan untuk kontrak v6 yang rentan pada antara muka pengguna (UI) yang baru dikemaskini dan kembali menggunakan v5. "Kami telah berjaya mengembalikan dana untuk semua alamat, dan butiran lanjut mengenai proses pemulangan akan dikongsi tidak lama lagi," tambah syarikat tersebut.
ParaSwap tidak segera memberikan respons kepada permintaan komen dari Cointelegraph.
Pengguna yang terjejas masih berisiko selagi mereka belum mencabut kebenaran mereka, dan ParaSwap mengesyorkan individu menggunakan perkhidmatan pemeriksa pengeksploit seperti Revoke untuk mengesahkan keselamatan mereka. Lihat panduan Cointelegraph tentang cara mengenal pasti dan mengurangkan kerentanan kontrak pintar.
Berkaitan: Kerentanan Trust Wallet iOS lama dari tahun 2018 mungkin masih menjejaskan beberapa akaun
Alat kecerdasan buatan generatif (AI) seperti ChatGPT-4 baik dalam menghasilkan kod. Walau bagaimanapun, alat-alat tersebut gagal berfungsi sebagai juruaudit keselamatan yang sepenuhnya boleh dipercayai.
Menurut kertas penyelidikan yang baru diterbitkan oleh sepasang penyelidik dari Salus Security, sebuah syarikat keselamatan blockchain dengan pejabat di Amerika Utara, Eropah, dan Asia:
"GPT-4 boleh menjadi alat yang berguna dalam membantu pemeriksaan kontrak pintar, terutamanya dalam penguraian kod dan memberikan petunjuk kerentanan. Walau bagaimanapun, mengingatkan kelemahan dalam pengesanan kerentanan, ia tidak dapat sepenuhnya menggantikan alat pemeriksaan profesional dan juruaudit berpengalaman pada masa ini."
Menurut penemuan mereka, ChatGPT baik dalam mengesan positif sebenar - kerentanan sebenar yang layak disiasat di luar persekitaran pengujian. Ia mencapai lebih daripada 80% ketepatan dalam pengujian.
Majalah: Pusat kripto untuk digital-nomad di Afrika Selatan: Panduan Crypto City Cape Town