Hackers de criptomoedas drenaram aproximadamente US$ 36,7 milhões de quatro protocolos DeFi nos últimos seis meses — e cada um dos contratos explorados tinha código-fonte que nunca foi verificado publicamente em exploradores de blockchain. O maior incidente, um golpe de US$ 26 milhões no Truebit, baseado em Ethereum, em janeiro, explorou um estouro de inteiro em código escrito em uma versão do Solidity de 2018. Agora, a Chainalysis alerta que o vetor de ataque está se tornando mais perigoso, já que ferramentas baratas de IA facilitam a vida de ladrões que vasculham bytecode não verificado.
O Exploit de US$ 26 milhões no Truebit
O contrato do Truebit estava no Ethereum desde 2021 — não verificado e não revisado. Os atacantes o quebraram ao encontrar uma falha de estouro de inteiro na curva de ligação (bonding curve). O código foi escrito em Solidity v0.5.3, que não possui proteções automáticas contra estouro. Essa versão tem anos de idade, mas o contrato nunca foi atualizado ou auditado. Programas de recompensa por bugs frequentemente excluem contratos não verificados, então essa vulnerabilidade ficou intocada por anos.
Código Solidity Antigo Deixado sem Verificação
Os quatro contratos comprometidos — Truebit, Trusted Volumes, Aperture Finance e Ekubo — compartilhavam uma coisa: ninguém jamais havia verificado seu código-fonte no Etherscan ou ferramentas similares. Sem verificação, a lógica real em execução na cadeia é opaca. Os atacantes não precisam do código-fonte; eles podem pegar o bytecode implantado e descompilá-lo usando ferramentas como Dedaub, Heimdall ou Panoramix. Em seguida, aplicam sistemas de IA para caçar reentrâncias, erros aritméticos e falhas de controle de acesso. Foi exatamente o que aconteceu nos quatro incidentes, que também envolveram erros de validação de entrada e falhas de verificação de identidade.
Atacantes Recorrem a IA e Análise de Bytecode
O valor de US$ 36,7 milhões é pequeno em relação ao cenário mais amplo de roubos em DeFi — a Chainalysis estima perdas totais acima de US$ 1 bilhão no mesmo período. Mas o método é o que preocupa a empresa. Ferramentas de análise automatizada estão se tornando mais baratas e acessíveis para os atacantes. A Chainalysis alerta que o risco de contratos não verificados pode se acelerar à medida que mais hackers aprendem a migrar de auditorias de código-fonte para varreduras de bytecode auxiliadas por IA.
Chainalysis: Verificação Deve Ser Pré-requisito
A empresa recomenda que a verificação do código-fonte se torne um requisito básico para qualquer contrato que detenha ativos de usuários. Auditorias e programas de recompensa por bugs também devem cobrir contratos de implementação por trás de estruturas de proxy, não apenas o proxy em si. Sem isso, contratos como o do Truebit podem ficar expostos por anos. A pergunta que paira sobre o setor agora: quantos contratos não verificados mais existem por aí, segurando dinheiro de usuários, esperando para ser descompilados?
