هکرهای دیفای ۳۶.۷ میلیون دلار از چهار قرارداد تاییدنشده سرقت کردند؛ چین‌آنالیزیس درباره خطر ابزارهای هوش مصنوعی هشدار می‌دهد

هکرهای ارزهای دیجیتال طی شش ماه گذشته حدود ۳۶.۷ میلیون دلار از چهار پروتکل دیفای خارج کردند — و تمام قراردادهای مورد سوءاستفاده کد منبعی داشتند که هرگز به‌صورت عمومی در مرورگرهای بلاکچین تایید نشده بود. بزرگ‌ترین حادثه، ضربه ۲۶ میلیون دلاری به تروبییت (Truebit) مبتنی بر اتریوم در ژانویه، یک سرریز عدد صحیح در کد نوشته‌شده با نسخه‌ای از سالیدیتی مربوط به سال ۲۰۱۸ را مورد بهره‌برداری قرار داد. اکنون چین‌آنالیزیس هشدار می‌دهد که این بردار حمله با ارزان‌تر شدن ابزارهای هوش مصنوعی خطرناک‌تر می‌شود، زیرا دزدان می‌توانند به‌راحتی بایت‌کد تاییدنشده را بشکافند.

بهره‌برداری ۲۶ میلیون دلاری از تروبییت

قرارداد تروبییت از سال ۲۰۲۱ روی اتریوم قرار داشت — تاییدنشده و بازبینینشده. مهاجمان با یافتن یک نقص سرریز عدد صحیح در منحنی پیوند (bonding curve) آن را شکستند. کد با سالیدیتی نسخه ۰.۵.۳ نوشته شده بود که فاقد محافظت خودکار در برابر سرریز است. آن نسخه سال‌ها قدیمی است، اما قرارداد هرگز به‌روزرسانی یا حسابرسی نشد. برنامه‌های باگ بانتی اغلب قراردادهای تاییدنشده را مستثنی می‌کنند، بنابراین این آسیب‌پذیری سال‌ها دست‌نخورده باقی ماند.

کد قدیمی سالیدیتی بدون بررسی رها شده

هر چهار قرارداد در معرض خطر — تروبییت، تراستد والیومز (Trusted Volumes)، اپرتور فایننس (Aperture Finance) و اکوبو (Ekubo) — یک ویژگی مشترک داشتند: هیچ‌کس کد منبع آن‌ها را روی اتراسکن یا ابزارهای مشابه تایید نکرده بود. بدون تایید، منطق واقعی در حال اجرا روی زنجیره ناپیدا است. مهاجمان به کد منبع نیاز ندارند؛ آن‌ها می‌توانند بایت‌کد مستقر را بگیرند و با استفاده از ابزارهایی مانند دیداب (Dedaub)، هیمدال (Heimdall) یا پانورامیکس (Panoramix) آن را دی‌کامپایل کنند. سپس سیستم‌های هوش مصنوعی را برای شکار ورود مجدد، خطاهای حسابی و نقص‌های کنترل دسترسی به کار می‌گیرند. این دقیقاً همان چیزی است که در هر چهار حادثه اتفاق افتاد که شامل خطاهای اعتبارسنجی ورودی و نارسایی‌های تأیید هویت نیز بود.

مهاجمان به سمت هوش مصنوعی و تحلیل بایت‌کد می‌روند

رقم ۳۶.۷ میلیون دلار در مقایسه با چشم‌انداز کلی سرقت‌های دیفای کوچک است — چین‌آنالیزیس مجموع زیان‌ها را در همین دوره بیش از یک میلیارد دلار برآورد می‌کند. اما روشی است که شرکت را نگران می‌کند. ابزارهای تحلیل خودکار برای مهاجمان ارزان‌تر و در دسترس‌تر می‌شوند. چین‌آنالیزیس هشدار می‌دهد که خطر قراردادهای تاییدنشده ممکن است شتاب گیرد زیرا هکرهای بیشتری یاد می‌گیرند از حسابرسی کد منبع به اسکن بایت‌کد با کمک هوش مصنوعی تغییر مسیر دهند.

چین‌آنالیزیس: تایید باید یک الزام پایه باشد

این شرکت توصیه می‌کند که تایید کد منبع به یک الزام پایه برای هر قراردادی که دارایی کاربران را نگه می‌دارد تبدیل شود. حسابرسی‌ها و باگ بانتی‌ها همچنین باید قراردادهای پیاده‌سازی پشت ساختارهای پروکسی را پوشش دهند، نه فقط خود پروکسی را. بدون این، قراردادهایی مانند تروبییت می‌توانند سال‌ها در معرض دید باقی بمانند. سوالی که اکنون بر صنعت سایه افکنده: چه تعداد قرارداد تاییدنشده دیگر وجود دارد که پول کاربران را نگه داشته و منتظر دی‌کامپایل شدن هستند؟