$26M ट्रूबिट शोषण
ट्रूबिट का अनुबंध 2021 से एथेरियम पर बैठा था — असत्यापित और अनदेखा। हमलावरों ने बॉन्डिंग कर्व में एक इंटीजर ओवरफ्लो दोष ढूंढकर इसे तोड़ा। कोड सॉलिडिटी v0.5.3 में लिखा गया था, जिसमें स्वचालित ओवरफ्लो सुरक्षा का अभाव है। वह संस्करण वर्षों पुराना है, लेकिन अनुबंध को कभी अपडेट या ऑडिट नहीं किया गया। बग बाउंटी प्रोग्राम अक्सर असत्यापित अनुबंधों को बाहर कर देते हैं, इसलिए वह कमजोरी वर्षों तक अछूती रही।
पुराना सॉलिडिटी कोड अनियंत्रित छोड़ा गया
सभी चार समझौता किए गए अनुबंध — ट्रूबिट, ट्रस्टेड वॉल्यूम्स, एपर्चर फाइनेंस और एकुबो — में एक बात समान थी: किसी ने भी ईथरस्कैन या इसी तरह के टूल पर उनके स्रोत कोड को कभी सत्यापित नहीं किया था। सत्यापन के बिना, ऑन-चेन चलने वाला वास्तविक तर्क अपारदर्शी होता है। हमलावरों को स्रोत की आवश्यकता नहीं है; वे तैनात बाइटकोड ले सकते हैं और डेडॉब, हेमडॉल या पैनोरामिक्स जैसे टूल का उपयोग करके इसे डीकंपाइल कर सकते हैं। फिर वे रीएंट्रेंसी, अंकगणितीय त्रुटियों और एक्सेस-कंट्रोल दोषों की खोज के लिए AI सिस्टम लागू करते हैं। सभी चार घटनाओं में ठीक यही हुआ, जिसमें इनपुट-सत्यापन त्रुटियां और पहचान-सत्यापन विफलताएं भी शामिल थीं।
हमलावर AI और बाइटकोड विश्लेषण की ओर मुड़े
$36.7 मिलियन का आंकड़ा व्यापक डीफाई चोरी परिदृश्य के सापेक्ष छोटा है — चेनालिसिस ने उसी अवधि में कुल नुकसान $1 बिलियन से अधिक बताया है। लेकिन यह विधि फर्म को चिंतित करती है। स्वचालित विश्लेषण उपकरण हमलावरों के लिए सस्ते और अधिक सुलभ होते जा रहे हैं। चेनालिसिस चेतावनी देती है कि असत्यापित-अनुबंध जोखिम तेज हो सकता है क्योंकि अधिक हैकर्स स्रोत-कोड ऑडिट से AI-सहायता प्राप्त बाइटकोड स्कैनिंग की ओर बढ़ना सीखते हैं।
चेनालिसिस: सत्यापन आधार रेखा होनी चाहिए
फर्म अनुशंसा करती है कि स्रोत-कोड सत्यापन किसी भी अनुबंध के लिए एक आधारभूत आवश्यकता बन जाए जो उपयोगकर्ता संपत्ति रखता है। ऑडिट और बग बाउंटी में प्रॉक्सी संरचनाओं के पीछे कार्यान्वयन अनुबंधों को भी शामिल किया जाना चाहिए, न कि केवल प्रॉक्सी को। इसके बिना, ट्रूबिट जैसे अनुबंध वर्षों तक खुले रह सकते हैं। उद्योग पर अब जो सव
