ParaSwap, güvenlik açığını keşfettikten hemen sonra v6 API’sini duraklattı ve potansiyel kurbanların fonlarını beyaz şapka müdahalesiyle güvence altına aldı. Potansiyel mağdurlara tazminat ödenmesine yönelik planlar sürüyor.
Merkezi olmayan finansal hizmetler sağlayıcısı ParaSwap, yeni başlatılan Augustus v6 akıllı sözleşmesinde bir güvenlik açığı buldu ve erken beyaz şapka müdahalesiyle büyük bir fon kaybını önledi.
18 Mart’ta, takas verimliliğini artırmayı ve gaz ücretlerini düşürmeyi amaçlayan ParaSwap Augustus v6 sözleşmesi yayına girdi. Ancak sözleşme, hacker’ların onay alındığında fonları tahliye etmelerine imkan tanıyan kritik bir güvenlik açığı içeriyordu.
20 Mart’ta güvenlik açığını keşfettikten kısa bir süre sonra ParaSwap, v6 uygulama programlama arayüzünü (API) duraklattı ve potansiyel kurbanların fonlarını beyaz şapka hackleme yoluyla güvence altına aldı.
ParaSwap, güvenlik açığı giderilene kadar daha fazla fon kaybını önlemek için tüm kullanıcılara Augustus v6 sözleşmesine ilişkin izinleri iptal etmelerini tavsiye etti.
ParaSwap’in savunmasız v6 sözleşmesini geri alma ve kullanıcıları gerekli adımları atmaları konusunda bilgilendirme yönündeki proaktif çabalarına rağmen, bilgisayar korsanı dört farklı adresten yaklaşık 24.000 dolar değerindeki parayı nakde çevirmeyi başardı.
ParaSwap toplamda 386 adresin bu güvenlik açığından etkilendiğini ortaya çıkardı. Protokol ayrıca kullanıcılardan, ön soruşturma sırasında kimliği belirlenemeyen fon kayıplarını bildirmelerini istedi.
Ayrıca, ParaSwap, son güncellenen kullanıcı arayüzünde savunmasız v6 sözleşmesine destek vermeyi durdurdu ve v5’e geri döndü. Şirket, “Tüm adresler için fonları başarıyla kurtardık ve geri ödeme süreciyle ilgili daha fazla ayrıntı yakında paylaşılacak” şeklinde ekledi.
Etkilenen kullanıcılar, onaylarını iptal etmedikleri sürece risk altında olmaya devam ediyor ve bireylerin güvenliklerini doğrulamak için Revoke gibi istismar denetleyici hizmetlerini kullanmalarını öneriyor.
Yapay zeka (AI) araçları, kod oluşturmada oldukça yetenekli olsa da, güvenilir bir güvenlik denetçisi olarak tam anlamıyla güvenilir performans sergileyememektedir.
Kuzey Amerika, Avrupa ve Asya’da ofisleri bulunan bir blockchain güvenlik şirketi olan Salus Security’den bir çift araştırmacının yakın zamanda yayınlanan bir araştırma makalesine göre:
“GPT-4, özellikle akıllı sözleşme denetiminde kod analizi ve güvenlik açığı tespitinde kritik bir rol oynayabilir. Ancak güvenlik açığı tespitindeki sınırlamalar göz önüne alındığında, şu anda profesyonel denetim araçlarının ve deneyimli denetçilerin yerini tamamen tutamaz.”
Bulgularına göre ChatGPT, gerçek pozitifleri, yani test ortamı dışında araştırmaya değer gerçek güvenlik açıklarını tespit etmede iyidir. Testlerde %80’in üzerinde kesinliğe ulaştı.
Diğer yazılarımız:
Bu habere daha detaylı bakmak için buraya bakınız.