Merkezi olmayan finans (DeFi) platformu ParaSwap, yeni başlattığı Augustus v6 sözleşmesindeki bir güvenlik açığını keşfetti ve zamanında beyaz şapka müdahalesiyle önemli bir fon kaybını önledi. 18 Mart’ta ParaSwap Augustus v6 sözleşmesi, takas verimliliğini artırmayı ve işlem ücretlerini azaltmayı hedefleyerek yayına girdi. Ancak sözleşme, bilgisayar korsanlarının onaylandığında fonları boşaltmasına olanak tanıyan kritik bir güvenlik açığı içeriyordu.
ParaSwap Ekibinden Önemli Adım
ParaSwap 20 Mart’ta güvenlik açığını keşfettikten kısa bir süre sonra v6 uygulama programlama arayüzünü (API) duraklattı ve potansiyel kayıpları beyaz şapkalı bir saldırı yoluyla güvence altına aldı.
ParaSwap, güvenlik açığı etkisiz hale getirilinceye kadar daha fazla fon kaybını önlemek için tüm kullanıcılara Augustus v6 sözleşmesinin izinlerini iptal etmelerini tavsiye etti. ParaSwap’in güvenlik açığı bulunan v6 sözleşmesini geri alma ve kullanıcıları gerekli adımları atmaları konusunda bilgilendirme yönündeki çabalarına rağmen bilgisayar korsanı dört farklı adresten yaklaşık 24.000 dolar değerinde para çekmeyi başardı.
ParaSwap toplamda 386 adresin güvenlik açığından etkilendiğini açıkladı. Protokol ayrıca kullanıcılardan ön soruşturma sırasında tespit edilememiş olabilecek herhangi bir fon kaybını bildirmelerini istedi.
Buna ek olarak ParaSwap, yakın zamanda güncellenen kullanıcı arayüzünde savunmasız v6 sözleşmesi desteğini de devre dışı bıraktı ve v5 kullanmaya geri döndü. Ekip konuya yönelik şu ifadelere yer verdi:
“Tüm adresler için fonları başarıyla geri aldık ve geri ödeme süreciyle ilgili daha fazla ayrıntı yakında paylaşılacak.”
Yazılım Hataları ve Yapay Zeka
Süreçten etkilenen kullanıcılar, onaylarını iptal etmedikleri sürece risk altında kalmaya devam ediyor ve ParaSwap yatırımcıların güvenliklerini onaylamak için Revoke gibi platformun hizmetlerini kullanmalarını öneriyor.
Bu sürecin ardından yapay zeka alanı tekrar gündeme geldi. ChatGPT-4 gibi üretken yapay zeka (AI) araçları kod üretme konusunda iyidir ancak bu araçlar tam anlamıyla güvenilir bir güvenlik denetçisi olarak görev yapamıyor. Kuzey Amerika, Avrupa ve Asya’da ofisleri bulunan bir blockchain güvenlik şirketi olan Salus Security’den bir çift araştırmacının yakın zamanda yayınlanan bir araştırma makalede konuya yönelik şu ifadelere yer verildi:
“GPT-4, özellikle kod ayrıştırma ve güvenlik açığı ipuçları sağlama konusunda akıllı sözleşme denetimine yardımcı olmak için yararlı bir araç olabilir. Ancak güvenlik açığı tespitindeki sınırlamaları göz önüne alındığında şu anda profesyonel denetim araçlarının ve deneyimli denetçilerin yerini tam olarak alamaz.”
