Hakerzy kryptowalutowi wyciągnęli około 36,7 mln USD z czterech protokołów DeFi w ciągu ostatnich sześciu miesięcy – a każdy z wykorzystanych kontraktów miał kod źródłowy, który nigdy nie został publicznie zweryfikowany w eksploratorach blockchain. Największy incydent, atak na oparty na Ethereum Truebit o wartości 26 mln USD w styczniu, wykorzystał przepełnienie liczby całkowitej w kodzie napisanym w wersji Solidity z 2018 roku. Teraz Chainalysis ostrzega, że wektor ataku staje się coraz bardziej niebezpieczny, ponieważ tanie narzędzia AI ułatwiają złodziejom przeszukiwanie niezweryfikowanego kodu bajtowego.
Eksploit Truebit za 26 mln USD
Kontrakt Truebit znajdował się na Ethereum od 2021 roku – niezweryfikowany i nieprzejrzany. Atakujący złamali go, znajdując lukę przepełnienia liczby całkowitej w krzywej wiążącej. Kod został napisany w Solidity v0.5.3, które nie ma automatycznych zabezpieczeń przed przepełnieniem. Ta wersja ma lata, ale kontrakt nigdy nie został zaktualizowany ani poddany audytowi. Programy bug bounty często wykluczają niezweryfikowane kontrakty, więc ta podatność pozostawała nietknięta przez lata.
Stary kod Solidity pozostawiony bez kontroli
Wszystkie cztery skompromitowane kontrakty – Truebit, Trusted Volumes, Aperture Finance i Ekubo – łączyło jedno: nikt nigdy nie zweryfikował ich kodu źródłowego na Etherscan lub podobnych narzędziach. Bez weryfikacji rzeczywista logika działająca w łańcuchu jest nieprzejrzysta. Atakujący nie potrzebują źródła; mogą pobrać wdrożony kod bajtowy i zdekompilować go za pomocą narzędzi takich jak Dedaub, Heimdall czy Panoramix. Następnie stosują systemy AI do wyszukiwania reentrancy, błędów arytmetycznych i wad kontroli dostępu. To właśnie miało miejsce we wszystkich czterech incydentach, które obejmowały również błędy walidacji danych wejściowych i awarie weryfikacji tożsamości.
Atakujący sięgają po AI i analizę kodu bajtowego
Kwota 36,7 mln USD jest niewielka w porównaniu z szerszym krajobrazem kradzieży DeFi – Chainalysis szacuje całkowite straty na ponad 1 mld USD w tym samym okresie. Ale metoda niepokoi firmę. Zautomatyzowane narzędzia analityczne stają się tańsze i bardziej dostępne dla atakujących. Chainalysis ostrzega, że ryzyko związane z niezweryfikowanymi kontraktami może przyspieszyć, gdy więcej hakerów nauczy się przechodzić od audytów kodu źródłowego do skanowania kodu bajtowego wspomaganego przez AI.
Chainalysis: weryfikacja musi być standardem
Firma zaleca, aby weryfikacja kodu źródłowego stała się podstawowym wymogiem dla każdego kontraktu przechowującego aktywa użytkowników. Audyty i bug bounty powinny również obejmować kontrakty implementacyjne za strukturami proxy, a nie tylko samo proxy. Bez tego kontrakty takie jak Truebit mogą pozostawać narażone przez lata. Pytanie, które wisi nad branżą teraz: ile jeszcze niezweryfikowanych kontraktów tam jest, trzymających pieniądze użytkowników, czekających na dekompilację?
