Χάκερς κρυπτονομισμάτων απέσπασαν περίπου 36,7 εκατομμύρια δολάρια από τέσσερα πρωτόκολλα DeFi τους τελευταίους έξι μήνες — και κάθε ένα από τα εκμεταλλευόμενα συμβόλαια είχε πηγαίο κώδικα που δεν είχε ποτέ επαληθευτεί δημόσια σε εξερευνητές blockchain. Το μεγαλύτερο περιστατικό, μια επίθεση 26 εκατομμυρίων δολαρίων στο Truebit που βασίζεται στο Ethereum τον Ιανουάριο, εκμεταλλεύτηκε μια υπερχείλιση ακεραίου σε κώδικα γραμμένο σε μια έκδοση Solidity από το 2018. Τώρα η Chainalysis προειδοποιεί ότι ο φορέας επίθεσης γίνεται πιο επικίνδυνος, καθώς φθηνά εργαλεία τεχνητής νοημοσύνης διευκολύνουν τους κλέφτες να διαλύουν μη επαληθευμένο bytecode.
Η Εκμετάλλευση των 26 εκατ. δολαρίων στο Truebit
Το συμβόλαιο του Truebit βρισκόταν στο Ethereum από το 2021 — μη επαληθευμένο και αχρησιμοποίητο. Οι επιτιθέμενοι το έσπασαν βρίσκοντας ένα ελάττωμα υπερχείλισης ακεραίου στην καμπύλη δεσμεύσεων. Ο κώδικας ήταν γραμμένος σε Solidity v0.5.3, η οποία στερείται αυτόματων προστασιών υπερχείλισης. Αυτή η έκδοση είναι χρόνων παλιά, αλλά το συμβόλαιο δεν ενημερώθηκε ποτέ ούτε ελέγχθηκε. Τα προγράμματα bounty συχνά αποκλείουν μη επαληθευμένα συμβόλαια, οπότε αυτή η ευπάθεια παρέμεινε ανέπαφη για χρόνια.
Παλιός Κώδικας Solidity Χωρίς Έλεγχο
Και τα τέσσερα παραβιασμένα συμβόλαια — Truebit, Trusted Volumes, Aperture Finance και Ekubo — είχαν ένα κοινό: κανείς δεν είχε ποτέ επαληθεύσει τον πηγαίο κώδικά τους στο Etherscan ή σε παρόμοια εργαλεία. Χωρίς επαλήθευση, η πραγματική λογική που εκτελείται στην αλυσίδα είναι αδιαφανής. Οι επιτιθέμενοι δεν χρειάζονται τον πηγαίο κώδικα· μπορούν να πάρουν το αναπτυγμένο bytecode και να το αποσυμπιέσουν χρησιμοποιώντας εργαλεία όπως Dedaub, Heimdall ή Panoramix. Στη συνέχεια εφαρμόζουν συστήματα τεχνητής νοημοσύνης για να εντοπίσουν reentrancy, αριθμητικά σφάλματα και ελαττώματα ελέγχου πρόσβασης. Αυτό ακριβώς συνέβη και στα τέσσερα περιστατικά, τα οποία περιλάμβαναν επίσης σφάλματα επικύρωσης εισόδου και αποτυχίες επαλήθευσης ταυτότητας.
Οι Επιτιθέμενοι Στρέφονται στην Τεχνητή Νοημοσύνη και την Ανάλυση Bytecode
Το ποσό των 36,7 εκατομμυρίων δολαρίων είναι μικρό σε σύγκριση με το ευρύτερο τοπίο κλοπών DeFi — η Chainalysis υπολογίζει τις συνολικές απώλειες πάνω από 1 δισεκατομμύριο δολάρια την ίδια περίοδο. Αλλά η μέθοδος είναι αυτή που ανησυχεί την εταιρεία. Τα αυτοματοποιημένα εργαλεία ανάλυσης γίνονται φθηνότερα και πιο προσβάσιμα για τους επιτιθέμενους. Η Chainalysis προειδοποιεί ότι ο κίνδυνος των μη επαληθευμένων συμβολαίων θα μπορούσε να επιταχυνθεί καθώς περισσότεροι χάκερς μαθαίνουν να μεταβαίνουν από ελέγχους πηγαίου κώδικα σε σάρωση bytecode με τη βοήθεια τεχνητής νοημοσύνης.
Chainalysis: Η Επαλήθευση Πρέπει να Είναι Βασική Προϋπόθεση
Η εταιρεία συνιστά η επαλήθευση πηγαίου κώδικα να γίνει βασική απαίτηση για κάθε συμβόλαιο που κατέχει περιουσιακά στοιχεία χρηστών. Οι έλεγχοι και τα προγράμματα bounty θα πρέπει επίσης να καλύπτουν συμβόλαια υλοποίησης πίσω από δομές proxy, όχι μόνο το ίδιο το proxy. Χωρίς αυτό, συμβόλαια όπως αυτό του Truebit μπορούν να παραμείνουν εκτεθειμένα για χρόνια. Το ερώτημα που πλανάται πάνω από τη βιομηχανία τώρα: πόσα ακόμα μη επαληθευμένα συμβόλαια υπάρχουν εκεί έξω, που κρατούν χρήματα χρηστών, περιμένοντας να αποσυμπιεστούν;
