Los hackers de criptomonedas drenaron aproximadamente $36.7 millones de cuatro protocolos DeFi en los últimos seis meses, y cada uno de los contratos explotados tenía un código fuente que nunca fue verificado públicamente en los exploradores de blockchain. El incidente más grande, un golpe de $26 millones contra Truebit basado en Ethereum en enero, explotó un desbordamiento de enteros en un código escrito en una versión de Solidity de 2018. Ahora Chainalysis advierte que el vector de ataque se está volviendo más peligroso a medida que las herramientas de IA baratas facilitan a los ladrones desgarrar el bytecode no verificado.
La explotación de $26M en Truebit
El contrato de Truebit había estado en Ethereum desde 2021, sin verificar y sin revisar. Los atacantes lo descifraron encontrando una falla de desbordamiento de enteros en la curva de vinculación. El código fue escrito en Solidity v0.5.3, que carece de protecciones automáticas contra desbordamientos. Esa versión tiene años de antigüedad, pero el contrato nunca se actualizó ni auditó. Los programas de recompensas por errores a menudo excluyen contratos no verificados, por lo que esa vulnerabilidad permaneció intacta durante años.
Código antiguo de Solidity sin revisar
Los cuatro contratos comprometidos (Truebit, Trusted Volumes, Aperture Finance y Ekubo) compartían algo: nadie había verificado su código fuente en Etherscan o herramientas similares. Sin verificación, la lógica real que se ejecuta en cadena es opaca. Los atacantes no necesitan el código fuente; pueden tomar el bytecode desplegado y decompilarlo usando herramientas como Dedaub, Heimdall o Panoramix. Luego aplican sistemas de IA para buscar reentrancia, errores aritméticos y fallos de control de acceso. Eso es exactamente lo que ocurrió en los cuatro incidentes, que también involucraron errores de validación de entrada y fallos de verificación de identidad.
Los atacantes recurren a la IA y al análisis de bytecode
La cifra de $36.7 millones es pequeña en comparación con el panorama más amplio de robos en DeFi: Chainalysis sitúa las pérdidas totales por encima de los $1 mil millones en el mismo período. Pero el método es lo que preocupa a la firma. Las herramientas de análisis automatizado son cada vez más baratas y accesibles para los atacantes. Chainalysis advierte que el riesgo de contratos no verificados podría acelerarse a medida que más hackers aprendan a pasar de auditorías de código fuente a escaneo de bytecode asistido por IA.
Chainalysis: la verificación debe ser un requisito básico
La firma recomienda que la verificación del código fuente se convierta en un requisito básico para cualquier contrato que posea activos de usuarios. Las auditorías y los programas de recompensas por errores también deberían cubrir los contratos de implementación detrás de las estructuras proxy, no solo el proxy en sí. Sin eso, contratos como el de Truebit pueden quedar expuestos durante años. La pregunta que ahora flota sobre la industria: ¿cuántos contratos no verificados más hay por ahí, reteniendo dinero de usuarios, esperando ser decompilados?
