Crypto-hackers hebben in de afgelopen zes maanden ongeveer $36,7 miljoen buitgemaakt uit vier DeFi-protocollen — en bij elk van de geëxploiteerde contracten was de broncode nooit openbaar geverifieerd op blockchain-verkenners. Het grootste incident, een aanval van $26 miljoen op het op Ethereum gebaseerde Truebit in januari, maakte gebruik van een integer-overflow in code geschreven in een Solidity-versie uit 2018. Nu waarschuwt Chainalysis dat de aanvalsvector gevaarlijker wordt naarmate goedkope AI-tools het dieven gemakkelijker maken om niet-geverifieerde bytecode te doorzoeken.
De $26 miljoen Truebit-exploit
Truebits contract stond sinds 2021 op Ethereum — niet geverifieerd en niet beoordeeld. Aanvallers kraakten het door een integer-overflow-fout te vinden in de bonding-curve. De code was geschreven in Solidity v0.5.3, die geen automatische bescherming tegen overflows biedt. Die versie is jaren oud, maar het contract werd nooit bijgewerkt of geaudit. Bugbountyprogramma's sluiten vaak niet-geverifieerde contracten uit, dus die kwetsbaarheid bleef jarenlang onaangeroerd.
Oude Solidity-code zonder controle
Alle vier de gecompromitteerde contracten — Truebit, Trusted Volumes, Aperture Finance en Ekubo — hadden één ding gemeen: niemand had ooit hun broncode geverifieerd op Etherscan of vergelijkbare tools. Zonder verificatie is de daadwerkelijke logica die on-chain draait ondoorzichtig. Aanvallers hebben de bron niet nodig; ze kunnen de geplaatste bytecode pakken en decomileren met tools als Dedaub, Heimdall of Panoramix. Vervolgens passen ze AI-systemen toe om te jagen op reentrancy, rekenkundige fouten en toegangscontrolefouten. Dat is precies wat er gebeurde bij alle vier incidenten, waarbij ook sprake was van invoervalidatiefouten en identiteitsverificatiefouten.
Aanvallers schakelen over op AI en bytecode-analyse
Het bedrag van $36,7 miljoen is klein in vergelijking met het bredere DeFi-diefstallandschap — Chainalysis schat de totale verliezen in dezelfde periode op meer dan $1 miljard. Maar de methode baart het bedrijf zorgen. Geautomatiseerde analysetools worden goedkoper en toegankelijker voor aanvallers. Chainalysis waarschuwt dat het risico van niet-geverifieerde contracten kan versnellen naarmate meer hackers leren over te schakelen van broncode-audits naar bytecode-scanning met behulp van AI.
Chainalysis: verificatie moet basisvereiste zijn
Het bedrijf beveelt aan dat broncodeverificatie een basisvereiste wordt voor elk contract dat gebruikersactiva beheert. Audits en bugbounty's moeten ook de implementatiecontracten achter proxy-structuren dekken, niet alleen de proxy zelf. Zonder dat kunnen contracten zoals die van Truebit jarenlang blootgesteld blijven. De vraag die nu boven de industrie hangt: hoeveel niet-geverifieerde contracten zijn er nog, die gebruikersgeld bevatten en wachten om gedecompileerd te worden?
