The $26M Truebit Exploit
Truebit's contract had been sitting on Ethereum since 2021 — unverified and unreviewed. Attackers cracked it by finding an integer overflow flaw in the bonding curve. The code was written in Solidity v0.5.3, which lacks automatic overflow protections. That version is years old, but the contract was never updated or audited. Bug bounty programs often exclude unverified contracts, so that vulnerability sat untouched for years.
" Translation: "Exploit Truebitu za 26 milionů dolarů
Truebitův kontrakt byl na Ethereu od roku 2021 – neověřený a nezkontrolovaný. Útočníci ho prolomili nalezením chyby celočíselného přetečení v bondovací křivce. Kód byl napsán v Solidity v0.5.3, která postrádá automatické ochrany proti přetečení. Tato verze je stará několik let, ale kontrakt nebyl nikdy aktualizován ani auditován. Bug bounty programy často vylučují neověřené kontrakty, takže tato zranitelnost zůstala roky nedotčena.
" Note: "bonding curve" - "bondovací křivka" is fine, or "vazební křivka"? I'll keep "bondovací křivka" as it's a specific term. "flaw" - "chyba". Third paragraph: "Old Solidity Code Left Unchecked
All four compromised contracts — Truebit, Trusted Volumes, Aperture Finance, and Ekubo — shared one thing: no one had ever verified their source code on Etherscan or similar tools. Without verification, the actual logic running on-chain is opaque. Attackers don't need the source; they can grab the deployed bytecode and decompile it using tools like Dedaub, Heimdall, or Panoramix. Then they apply AI systems to hunt for reentrancy, arithmetic errors, and access-control flaws. That's exactly what happened across all four incidents, which also involved input-validation errors and identity verification failures.
" Translation: "Starý Solidity kód ponechaný bez kontroly
Všechny čtyři napadené kontrakty – Truebit, Trusted Volumes, Aperture Finance a Ekubo – měly jednu společnou věc: nikdo nikdy neověřil jejich zdrojový kód na Etherscanu nebo podobných nástrojích. Bez ověření je skutečná logika běžící na řetězci neprůhledná. Útočníci nepotřebují zdrojový kód; mohou stáhnout nasazený bytekód a dekompilovat ho pomocí nástrojů jako Dedaub, Heimdall nebo Panoramix. Poté použijí AI systémy k hledání reentrancy, aritmetických chyb a chyb v řízení přístupu. Přesně to se stalo ve všech čtyřech incidentech, které zahrnovaly také chyby při validaci vstupů a selhání ověření identity.
" Note: "reentrancy" - often left as "reentrancy" or "znovuvstup"? In Czech crypto context, "reentrancy" is commonly used. "arithmetic errors" - "aritmetické chyby". "access-control flaws" - "chyby v řízení přístupu". "input-validation errors" - "chyby při validaci vstupů". "identity verification failures" - "selhání ověření identity". Fourth paragraph: "Attackers Turn to AI and Bytecode Analysis
The $36.7 million figure is small relative to the broader DeFi theft landscape — Chainalysis puts total losses above $1 billion over the same period. But the method is what worries the firm. Automated analysis tools are getting cheaper and more accessible for attackers. Chainalysis warns that the unverified-contract risk could accelerate as more hackers learn to pivot from source-code audits to bytecode scanning aided by AI.
" Translation: "Útočníci se obracejí k AI a analýze bytekódu
Částka 36,7 milionu dolarů je malá ve srovnání s širším prostředím krádeží v DeFi – Chainalysis odhaduje celkové ztráty na více než 1 miliardu dolarů za stejné období. Ale metoda je to, co firmu znepokojuje. Automatizované analytické nástroje jsou pro útočníky stále levnější a dostupnější. Chainalysis varuje, že riziko neověřených kontraktů by se mohlo zrychlit, jak se více hackerů učí přecházet od auditů zdrojového kódu ke skenování bytekódu s pomocí AI.
" Note: "pivot from...to" - "přecházet od...k". "bytecode scanning" - "skenování bytekódu". Fifth paragraph: "Chainalysis: Verification Must Be Baseline
The firm recommends that source-code verification become a baseline requirement for any contract that holds user assets. Audits and bug bounties should also cover implementation contracts behind proxy structures, not just the proxy itself. Without that, contracts like Truebit's can sit exposed for years. The question hanging over the industry now: how many more unverified contracts are out there, holding user money, waiting to be decompiled?
" Translation: "Chainalysis: Ověření musí být základním požadavkem
Firma doporučuje, aby se ověření zdrojového kódu stalo základním požadavkem pro jakýk
