Kryptohackare har under de senaste sex månaderna tillskansat sig cirka 36,7 miljoner dollar från fyra DeFi-protokoll – och vartenda ett av de utnyttjade kontrakten hade källkod som aldrig offentligt verifierats på blockkedjeutforskare. Den största incidenten, ett angrepp på Ethereum-baserade Truebit i januari som kostade 26 miljoner dollar, utnyttjade en heltalsöverskridning i kod skriven i en Solidity-version från 2018. Nu varnar Chainalysis för att attackvektorn blir farligare i takt med att billiga AI-verktyg gör det lättare för tjuvar att bryta sig igenom overifierad bytekod.
Truebit-exploateringen på 26 miljoner dollar
Truebits kontrakt hade legat på Ethereum sedan 2021 – overifierat och oreviderat. Angriparna knäckte det genom att hitta en heltalsöverskridning i bindningskurvan. Koden skrevs i Solidity v0.5.3, som saknar automatiska överskridningsskydd. Den versionen är flera år gammal, men kontraktet uppdaterades eller granskades aldrig. Buggbountyprogram utesluter ofta overifierade kontrakt, så sårbarheten låg orörd i flera år.
Gammal Solidity-kod lämnad utan kontroll
Alla fyra komprometterade kontrakt – Truebit, Trusted Volumes, Aperture Finance och Ekubo – hade en sak gemensamt: ingen hade någonsin verifierat deras källkod på Etherscan eller liknande verktyg. Utan verifiering är den verkliga logik som körs på kedjan ogenomskinlig. Angriparna behöver inte källkoden; de kan hämta den utplacerade bytekoden och dekompilera den med verktyg som Dedaub, Heimdall eller Panoramix. Sedan använder de AI-system för att jaga efter återinträde, aritmetiska fel och åtkomstkontrollbrister. Det är precis vad som hände i alla fyra incidenter, som även involverade indataverifieringsfel och identitetsverifieringsmisslyckanden.
Angripare vänder sig till AI och bytekodsanalys
Siffran 36,7 miljoner dollar är liten i förhållande till den bredare DeFi-stöldbilden – Chainalysis uppskattar de totala förlusterna till över en miljard dollar under samma period. Men metoden är vad som oroar företaget. Automatiserade analysverktyg blir billigare och mer tillgängliga för angripare. Chainalysis varnar för att risken med overifierade kontrakt kan accelerera i takt med att fler hackare lär sig att växla från källkodsgranskning till bytekodsskanning med hjälp av AI.
Chainalysis: Verifiering måste vara grundkrav
Företaget rekommenderar att källkodsverifiering blir ett grundkrav för varje kontrakt som innehar användartillgångar. Granskningar och buggbountyprogram bör även täcka implementeringskontrakt bakom proxy-strukturer, inte bara proxykontraktet i sig. Utan detta kan kontrakt som Truebits ligga exponerade i flera år. Frågan som nu hänger över branschen: hur många fler overifierade kontrakt finns där ute, som innehar användarnas pengar och väntar på att dekompileras?
