DeFi Hackers Stole $36.7M From Four Unverified Contracts, Chainalysis Warns of AI Tool Risk

The $26M Truebit Exploit

Truebit's contract had been sitting on Ethereum since 2021 — unverified and unreviewed. Attackers cracked it by finding an integer overflow flaw in the bonding curve. The code was written in Solidity v0.5.3, which lacks automatic overflow protections. That version is years old, but the contract was never updated or audited. Bug bounty programs often exclude unverified contracts, so that vulnerability sat untouched for years.

การโจมตี Truebit มูลค่า 26 ล้านดอลลาร์

สัญญาของ Truebit อยู่บน Ethereum ตั้งแต่ปี 2021 — ไม่ได้รับการยืนยันและไม่ได้รับการตรวจสอบ ผู้โจมตีเจาะระบบโดยพบข้อบกพร่อง integer overflow ใน bonding curve โค้ดถูกเขียนด้วย Solidity v0.5.3 ซึ่งขาดการป้องกัน overflow อัตโนมัติ เวอร์ชันนั้นเก่าหลายปีแล้ว แต่สัญญาไม่เคยถูกอัปเดตหรือตรวจสอบ โปรแกรม Bug bounty มักจะยกเว้นสัญญาที่ไม่ได้รับการยืนยัน ดังนั้นช่องโหว่นั้นจึงอยู่เฉยๆ เป็นเวลาหลายปี

Old Solidity Code Left Unchecked

All four compromised contracts — Truebit, Trusted Volumes, Aperture Finance, and Ekubo — shared one thing: no one had ever verified their source code on Etherscan or similar tools. Without verification, the actual logic running on-chain is opaque. Attackers don't need the source; they can grab the deployed bytecode and decompile it using tools like Dedaub, Heimdall, or Panoramix. Then they apply AI systems to hunt for reentrancy, arithmetic errors, and access-control flaws. That's exactly what happened across all four incidents, which also involved input-validation errors and identity verification failures.

โค้ด Solidity เก่าที่ไม่ถูกตรวจสอบ

สัญญาทั้งสี่ที่ถูกบุกรุก — Truebit, Trusted Volumes, Aperture Finance และ Ekubo — มีสิ่งหนึ่งที่เหมือนกัน: ไม่มีใครเคยยืนยันซอร์สโค้ดของพวกเขาบน Etherscan หรือเครื่องมือที่คล้ายกัน หากไม่มีการยืนยัน ตรรกะที่ทำงานจริงบนเชนจะไม่โปร่งใส ผู้โจมตีไม่จำเป็นต้องใช้ซอร์สโค้ด พวกเขาสามารถดึง bytecode ที่ปรับใช้แล้วและถอดรหัสโดยใช้เครื่องมือเช่น Dedaub, Heimdall หรือ Panoramix จากนั้นใช้ระบบ AI เพื่อค้นหา reentrancy ข้อผิดพลาดทางคณิตศาสตร์ และข้อบกพร่องในการควบคุมการเข้าถึง นั่นคือสิ่งที่เกิดขึ้นในทั้งสี่เหตุการณ์ ซึ่งยังรวมถึงข้อผิดพลาดในการตรวจสอบอินพุตและความล้มเหลวในการยืนยันตัวตน

Attackers Turn to AI and Bytecode Analysis

The $36.7 million figure is small relative to the broader DeFi theft landscape — Chainalysis puts total losses above $1 billion over the same period. But the method is what worries the firm. Automated analysis tools are getting cheaper and more accessible for attackers. Chainalysis warns that the unverified-contract risk could accelerate as more hackers learn to pivot from source-code audits to bytecode scanning aided by AI.

ผู้โจมตีหันมาใช้ AI และการวิเคราะห์ Bytecode

ตัวเลข 36.7 ล้านดอลลาร์นั้นเล็กน้อยเมื่อเทียบกับภาพรวมการโจรกรรม DeFi — Chainalysis ระบุว่าความเสียหายรวมสูงกว่า 1 พันล้านดอลลาร์ในช่วงเวลาเดียวกัน แต่วิธีการนี้คือสิ่งที่ทำให้บริษัทกังวล เครื่องมือวิเคราะห์อัตโนมัติมีราคาถูกลงและเข้าถึงได้ง่ายขึ้นสำหรับผู้โจมตี Chainalysis เตือนว่าความเสี่ยงจากสัญญาที่ไม่ได้รับการยืนยันอาจเร่งตัวขึ้นเมื่อแฮกเกอร์เรียนรู้ที่จะเปลี่ยนจากการตรวจสอบซอร์สโค้ดไปสู่การสแกน bytecode ที่ได้รับความช่วยเหลือจาก AI

Chainalysis: Verification Must Be Baseline

The firm recommends that source-code verification become a baseline requirement for any contract that holds user assets. Audits and bug bounties should also cover implementation contracts behind proxy structures, not just the proxy itself. Without that, contracts like Truebit's can sit exposed for years. The question hanging over the industry now: how many more unverified contracts are out there, holding user money, waiting to be decompiled?

Chainalysis: การยืนยันต้องเป็นมาตรฐานพื้นฐาน

บริษัทแนะนำให้การยืนยันซอร์สโค้ดเป็นข้อกำหนดพื้นฐานสำหรับสัญญาใดๆ ที่ถือสินทรัพย์ของผู้ใช้ การตรวจสอบและโปรแกรม Bug bounty ควรครอบคลุมสัญญาการนำไปใช้งานที่อยู่เบื้องหลังโครงสร้าง proxy ด้วย ไม่ใช่แค่ proxy ตัวเดียว หากไม่มีสิ่งนี้ สัญญาเช่นของ Truebit อาจถูกเปิดเผยเป็นเวลาหลายปี คำถามที่ค้างอยู่ในอุตสาหกรรมตอนนี้: ยังมีสัญญาที่ไม่ได้รับการยืนยันอีกกี่สัญญาที่ถือเงินของผู้ใช้และรอการถอดรหัส?