Hoe de aanvallen werken
Chainalysis beschrijft een pijplijn die begint met decompilers zoals Dedaub, Heimdall en Panoramix – tools die ruwe bytecode terugzetten naar leesbare Solidity. Die leesbare code wordt vervolgens in een LLM gevoerd, dat reentrancy-bugs, toegangscontrolefouten en rekenfouten markeert. Het proces is geautomatiseerd, waardoor aanvallers duizenden niet-geverifieerde contracten kunnen scannen, ze kunnen sorteren op geschatte exploitabiliteit en potentieel rendement, en vervolgens toeslaan. Niet-geverifieerde contracten ontglippen ook aan de ogen van white-hat-onderzoekers en worden vaak uitgesloten van bug bounty-programma's – waardoor ze aantrekkelijke, laag-risicodoelen zijn.
De Truebit-zaak
Het grootste incident was de Truebit-hack op 8 januari, waarbij $26,2 miljoen werd weggesluisd door een integer overflow in de bonding curve. Het contract was op Ethereum geïmplementeerd maar nooit geverifieerd – het lag sinds 2021 onverifieerd. Hetzelfde adres dat Truebit aanviel, had twaalf dagen eerder een nog kleiner doelwit geraakt en 5 ETH uit het Sparkle-protocol gehaald. De opbrengsten van beide exploits werden witgewassen via Tornado Cash. Chainalysis noemt de aanvaller niet, maar het patroon wijst op een enkele operator of groep die tools test op protocollen met lagere waarde voordat ze de grote aanval uitvoeren.
Wat Anthropic vond
Anthropic's eigen onderzoek, aangehaald in het rapport, toonde aan dat AI geavanceerde aanvalsstappen kan uitvoeren, zelfs voor laaggeschoolde hackers, waardoor het algehele dreigingsniveau toeneemt. In aparte demonstraties liet Anthropic zien dat AI-agenten autonoom slimme contracten exploiteren voor miljoenen dollars – inclusief contracten die na de kennisafsluitdatum van de modellen werden geïmplementeerd. Beveiligingsexperts waarschuwen dat AI-agenten nu menselijke auditors in DeFi voorbijstreven, en Chainalysis verwacht dat de trend zal versnellen naarmate decompilatietools verbeteren.
Wat protocollen moeten doen
Chainalysis dringt er bij elk protocol op aan om alle geïmplementeerde code te verifiëren – dat is de eerste en goedkoopste verdedigingslinie. Ze raden ook aan om de reikwijdte van bug bounties uit te breiden naar niet-geverifieerde contracten en realtime
