El agregador de finanzas descentralizadas (DeFi) ParaSwap descubrió una vulnerabilidad en su recién lanzado contrato Augustus v6 y evitó una pérdida colosal de fondos gracias a una oportuna intervención white hat.

El 18 de marzo se puso en marcha el contrato Augustus v6 de ParaSwap, con el objetivo de mejorar la eficiencia del intercambio y reducir las comisiones de gas. Sin embargo, el contrato contenía una vulnerabilidad crítica que permitía a hackers drenar fondos una vez aprobado.

Poco después de descubrir la vulnerabilidad, el 20 de marzo, ParaSwap puso en pausa la interfaz de programación de aplicaciones (API, por sus siglas en inglés) v6 y aseguró los fondos de las víctimas potenciales mediante una intervención white hat.

Fuente: ParaSwap

ParaSwap aconsejó a todos los usuarios que revocaran los permisos del contrato Augustus v6 para evitar más pérdidas de fondos hasta que se neutralizara la vulnerabilidad.

A pesar del esfuerzo proactivo de ParaSwap por revocar el contrato v6 vulnerable e informar a los usuarios para que tomaran las medidas necesarias, el hacker consiguió retirar fondos por valor de unos 24,000 dólares de cuatro direcciones diferentes.

En total, ParaSwap reveló que 386 direcciones fueron afectadas por la vulnerabilidad. El protocolo también pedía a los usuarios que informaran de cualquier pérdida de fondos que pudiera haber quedado sin identificar durante la investigación preliminar.

ParaSwap identificó 386 direcciones de monedero afectadas por la vulnerabilidad del contrato Augustus Vv. Fuente: paraswap.notion.site

Además, ParaSwap también desactivó el soporte para el contrato vulnerable v6 en su interfaz de usuario (UI) recientemente actualizada y volvió a usar v5. "Hemos recuperado con éxito los fondos para todas las direcciones, y pronto se compartirán más detalles sobre el proceso de reembolso", agregó la compañía.

ParaSwap no respondió inmediatamente a la solicitud de comentarios de Cointelegraph.

Los usuarios afectados siguen en riesgo mientras no hayan revocado sus aprobaciones, y ParaSwap recomienda a las personas que utilicen servicios de comprobación de exploits como Revoke para confirmar su seguridad. Echa un vistazo a la guía de Cointelegraph sobre cómo identificar y mitigar las vulnerabilidades de los contratos inteligente.

Las herramientas de inteligencia artificial (IA) generativa como ChatGPT-4 son buenas para generar código. Sin embargo, las herramientas no logran desempeñarse como un auditor de seguridad completamente confiable.

Según un trabajo de investigación publicado recientemente por un par de investigadores de Salus Security, una empresa de seguridad blockchain con oficinas en América del Norte, Europa y Asia:

"GPT-4 puede ser una herramienta útil para ayudar en la auditoría de contratos inteligentes, especialmente en el análisis de código y en la provisión de pistas sobre vulnerabilidades. Sin embargo, dadas sus limitaciones en la detección de vulnerabilidades, no puede sustituir completamente a las herramientas de auditoría profesionales y a los auditores experimentados en este momento".

Según sus conclusiones, ChatGPT es bueno en la detección de verdaderos positivos: vulnerabilidades reales que valdría la pena investigar fuera de un entorno de pruebas. Alcanzó una precisión superior al 80% en las pruebas.

Aclaración: La información y/u opiniones emitidas en este artículo no representan necesariamente los puntos de vista o la línea editorial de Cointelegraph. La información aquí expuesta no debe ser tomada como consejo financiero o recomendación de inversión. Toda inversión y movimiento comercial implican riesgos y es responsabilidad de cada persona hacer su debida investigación antes de tomar una decisión de inversión.