Penggodam kripto menguras kira-kira $36.7 juta daripada empat protokol DeFi dalam tempoh enam bulan yang lalu — dan setiap satu kontrak yang dieksploitasi mempunyai kod sumber yang tidak pernah disahkan secara umum pada penjelajah blockchain. Insiden terbesar, serangan $26 juta ke atas Truebit berasaskan Ethereum pada Januari, mengeksploitasi limpahan integer dalam kod yang ditulis dalam versi Solidity dari 2018. Kini Chainalysis memberi amaran bahawa vektor serangan semakin berbahaya apabila alat AI murah memudahkan pencuri mengoyak baitkod yang tidak disahkan.
Eksploitasi Truebit $26J
Kontrak Truebit telah berada di Ethereum sejak 2021 — tidak disahkan dan tidak disemak. Penyerang memecahkannya dengan mencari kelemahan limpahan integer dalam lengkung bon. Kod itu ditulis dalam Solidity v0.5.3, yang tidak mempunyai perlindungan limpahan automatik. Versi itu sudah lama, tetapi kontrak tersebut tidak pernah dikemas kini atau diaudit. Program ganjaran pepijat sering mengecualikan kontrak tidak disahkan, jadi kelemahan itu tidak disentuh selama bertahun-tahun.
Kod Solidity Lama Tidak Diperiksa
Keempat-empat kontrak yang dikompromi — Truebit, Trusted Volumes, Aperture Finance, dan Ekubo — berkongsi satu perkara: tiada siapa yang pernah mengesahkan kod sumber mereka di Etherscan atau alat serupa. Tanpa pengesahan, logik sebenar yang berjalan di rantai adalah kabur. Penyerang tidak memerlukan sumber; mereka boleh mengambil baitkod yang digunakan dan menyahkompilasinya menggunakan alat seperti Dedaub, Heimdall, atau Panoramix. Kemudian mereka menggunakan sistem AI untuk memburu kemasukan semula, ralat aritmetik, dan kelemahan kawalan akses. Itulah yang berlaku dalam keempat-empat insiden, yang juga melibatkan ralat pengesahan input dan kegagalan pengesahan identiti.
Penyerang Beralih kepada AI dan Analisis Baitkod
Angka $36.7 juta adalah kecil berbanding dengan landskap kecurian DeFi yang lebih luas — Chainalysis meletakkan jumlah kerugian melebihi $1 bilion dalam tempoh yang sama. Tetapi kaedah inilah yang membimbangkan firma itu. Alat analisis automatik semakin murah dan lebih mudah diakses oleh penyerang. Chainalysis memberi amaran bahawa risiko kontrak tidak disahkan boleh mempercepat apabila lebih ramai penggodam belajar beralih daripada audit kod sumber kepada pengimbasan baitkod yang dibantu oleh AI.
Chainalysis: Pengesahan Mesti Menjadi Asas
Firma itu mengesyorkan agar pengesahan kod sumber menjadi keperluan asas bagi mana-mana kontrak yang memegang aset pengguna. Audit dan ganjaran pepijat juga harus meliputi kontrak pelaksanaan di sebalik struktur proksi, bukan hanya proksi itu sendiri. Tanpa itu, kontrak seperti Truebit boleh terdedah selama bertahun-tahun. Persoalan yang menggantung industri sekarang: berapa banyak lagi kontrak tidak disahkan di luar sana, memegang wang pengguna, menunggu untuk dinyahkompilasi?
