Hackerii cripto au sustras aproximativ 36,7 milioane de dolari din patru protocoale DeFi în ultimele șase luni — iar fiecare dintre contractele exploatate avea cod sursă care nu fusese niciodată verificat public pe exploratoarele blockchain. Cel mai mare incident, o lovitură de 26 de milioane de dolari asupra Truebit, bazat pe Ethereum, din ianuarie, a exploatat o depășire de întreg în cod scris într-o versiune Solidity din 2018. Acum, Chainalysis avertizează că vectorul de atac devine tot mai periculos pe măsură ce instrumentele AI ieftine fac mai ușor pentru hoți să analizeze bytecode-ul neverificat.
Exploatarea Truebit de 26 de milioane de dolari
Contractul Truebit stătea pe Ethereum din 2021 — neverificat și nerevizuit. Atacatorii l-au spart găsind o eroare de depășire de întreg în curba de legare. Codul era scris în Solidity v0.5.3, care nu are protecții automate împotriva depășirilor. Acea versiune are ani vechime, dar contractul nu a fost niciodată actualizat sau auditat. Programele de recompensare a erorilor exclud adesea contractele neverificate, astfel că această vulnerabilitate a rămas neatinsă ani de zile.
Cod Solidity vechi lăsat necontrolat
Toate cele patru contracte compromise — Truebit, Trusted Volumes, Aperture Finance și Ekubo — au avut un lucru în comun: nimeni nu le verificase vreodată codul sursă pe Etherscan sau instrumente similare. Fără verificare, logica reală care rulează on-chain este opacă. Atacatorii nu au nevoie de sursă; pot prelua bytecode-ul implementat și îl pot decompila folosind instrumente precum Dedaub, Heimdall sau Panoramix. Apoi aplică sisteme AI pentru a vâna reintrări, erori aritmetice și defecte de control al accesului. Exact asta s-a întâmplat în toate cele patru incidente, care au implicat și erori de validare a intrărilor și eșecuri de verificare a identității.
Atacatorii apelează la AI și analiza bytecode-ului
Suma de 36,7 milioane de dolari este mică în raport cu peisajul mai larg al furturilor DeFi — Chainalysis estimează pierderi totale de peste un miliard de dolari în aceeași perioadă. Dar metoda este cea care îngrijorează firma. Instrumentele de analiză automată devin tot mai ieftine și mai accesibile pentru atacatori. Chainalysis avertizează că riscul contractelor neverificate s-ar putea accelera pe măsură ce tot mai mulți hackeri învață să treacă de la auditurile codului sursă la scanarea bytecode-ului asistată de AI.
Chainalysis: Verificarea trebuie să fie un standard de bază
Firma recomandă ca verificarea codului sursă să devină o cerință de bază pentru orice contract care deține active ale utilizatorilor. Auditurile și programele de recompensare a erorilor ar trebui să acopere și contractele de implementare din spatele structurilor proxy, nu doar proxy-ul în sine. Fără aceasta, contracte precum Truebit pot rămâne expuse ani de zile. Întrebarea care planează acum asupra industriei: câte alte contracte neverificate mai există, care dețin bani ai utilizatorilor, așteptând să fie decompilate?
