A kriptóhekkerek az elmúlt hat hónapban mintegy 36,7 millió dollárt szivattyúztak ki négy DeFi-protokollból – és minden egyes kihasznált szerződés forráskódját soha nem ellenőrizték nyilvánosan a blokklánc-felfedezőkön. A legnagyobb incidens, egy 26 millió dolláros támadás az Ethereum-alapú Truebit ellen januárban, egy egészszám-túlcsordulást használt ki egy 2018-as Solidity-verzióban írt kódban. Most a Chainalysis arra figyelmeztet, hogy a támadási vektor egyre veszélyesebb, mivel az olcsó AI-eszközök megkönnyítik a tolvajok számára, hogy átfésüljék a nem ellenőrzött bájtkódot.
A 26 millió dolláros Truebit-kirobbanás
A Truebit szerződése 2021 óta ült az Ethereumon – ellenőrizetlenül és felülvizsgálatlanul. A támadók egy egészszám-túlcsordulási hibát találtak a kötési görbében. A kód a Solidity v0.5.3 verziójában íródott, amelyből hiányoznak az automatikus túlcsordulásvédelmek. Ez a verzió évekkel ezelőtti, de a szerződést soha nem frissítették vagy auditálták. A hibavadász programok gyakran kizárják az ellenőrizetlen szerződéseket, így ez a sebezhetőség évekig érintetlen maradt.
Régi Solidity-kód felügyelet nélkül
Mind a négy feltört szerződés – Truebit, Trusted Volumes, Aperture Finance és Ekubo – egy közös vonást mutatott: senki sem ellenőrizte a forráskódjukat az Etherscan vagy hasonló eszközök segítségével. Ellenőrzés nélkül a láncon futó tényleges logika átláthatatlan. A támadóknak nincs szükségük a forráskódra; elkaphatják a telepített bájtkódot, és visszafejthetik olyan eszközökkel, mint a Dedaub, Heimdall vagy Panoramix. Ezután AI-rendszereket alkalmaznak, hogy reentrancy, aritmetikai hibák és hozzáférés-vezérlési hibák után kutassanak. Pontosan ez történt mind a négy incidens során, amelyek bemenet-ellenőrzési hibákat és személyazonosság-ellenőrzési hibákat is magukban foglaltak.
A támadók AI és bájtkód-elemzés felé fordulnak
A 36,7 millió dolláros összeg kicsi a tágabb DeFi-lopási környezethez képest – a Chainalysis szerint ugyanebben az időszakban a teljes veszteség meghaladja az 1 milliárd dollárt. De a módszer az, ami aggasztja a céget. Az automatizált elemzőeszközök egyre olcsóbbá és elérhetőbbé válnak a támadók számára. A Chainalysis figyelmeztet, hogy az ellenőrizetlen szerződések kockázata felgyorsulhat, ahogy egyre több hekker tanul meg átállni a forráskód-auditokról a bájtkód-átvizsgálásra, amelyet AI segít.
Chainalysis: Az ellenőrzésnek alapkövetelménynek kell lennie
A cég azt javasolja, hogy a forráskód-ellenőrzés legyen alapkövetelmény minden olyan szerződés esetében, amely felhasználói eszközöket tárol. Az auditoknak és hibavadász programoknak a proxy struktúrák mögötti implementációs szerződéseket is le kell fedniük, nem csak magát a proxy-t. Enélkül a Truebit-hez hasonló szerződések évekig ki vannak téve. Az iparág előtt most az a kérdés lebeg: hány további ellenőrizetlen szerződés van odakint, amely felhasználói pénzt tart, és várja, hogy visszafejtsék?
