Kripto korsanları, son altı ayda dört DeFi protokolünden yaklaşık 36,7 milyon dolar çekti — ve istismar edilen sözleşmelerin her birinin kaynak kodu, blok gezginlerinde hiçbir zaman kamuya açık şekilde doğrulanmamıştı. En büyük olay, Ocak ayında Ethereum tabanlı Truebit'e yapılan 26 milyon dolarlık saldırıydı; 2018 yılından kalma bir Solidity sürümünde yazılmış kodda bir tamsayı taşması hatası kullanıldı. Şimdi Chainalysis, ucuz yapay zeka araçlarının hırsızların doğrulanmamış bytecode'ları parçalamasını kolaylaştırmasıyla saldırı vektörünün daha tehlikeli hale geldiği konusunda uyarıyor.
26 Milyon Dolarlık Truebit İstismarı
Truebit'in sözleşmesi, 2021'den beri Ethereum'da duruyordu — doğrulanmamış ve incelenmemişti. Saldırganlar, bağ eğrisinde bir tamsayı taşması kusuru bularak onu kırdı. Kod, otomatik taşma korumalarından yoksun olan Solidity v0.5.3'te yazılmıştı. Bu sürüm yıllar öncesine ait, ancak sözleşme hiçbir zaman güncellenmedi veya denetlenmedi. Hata ödül programları genellikle doğrulanmamış sözleşmeleri hariç tutar, bu nedenle bu güvenlik açığı yıllarca dokunulmadan kaldı.
Eski Solidity Kodu Denetimsiz Bırakıldı
Dört tehlikeye atılmış sözleşmenin tümü — Truebit, Trusted Volumes, Aperture Finance ve Ekubo — ortak bir noktayı paylaşıyordu: kaynak kodları Etherscan veya benzeri araçlarda hiçbir zaman doğrulanmamıştı. Doğrulama olmadan, zincir üzerinde çalışan gerçek mantık opak kalır. Saldırganlar kaynak koduna ihtiyaç duymaz; dağıtılmış bytecode'u alıp Dedaub, Heimdall veya Panoramix gibi araçları kullanarak ters derleyebilirler. Ardından, yeniden giriş, aritmetik hatalar ve erişim kontrolü kusurlarını avlamak için yapay zeka sistemleri uygularlar. Tüm dört olayda tam olarak bu oldu; ayrıca girdi doğrulama hataları ve kimlik doğrulama başarısızlıkları da yaşandı.
Saldırganlar Yapay Zeka ve Bytecode Analizine Yöneliyor
36,7 milyon dolarlık rakam, daha geniş DeFi hırsızlık ortamına kıyasla küçüktür — Chainalysis, aynı dönemde toplam kayıpları 1 milyar doların üzerinde olarak tahmin ediyor. Ancak firmayı endişelendiren yöntemdir. Otomatik analiz araçları, saldırganlar için daha ucuz ve daha erişilebilir hale geliyor. Chainalysis, daha fazla bilgisayar korsanının kaynak kodu denetimlerinden yapay zeka destekli bytecode taramaya yönelmesiyle doğrulanmamış sözleşme riskinin hızlanabileceği konusunda uyarıyor.
Chainalysis: Doğrulama Temel Olmalı
Firma, kullanıcı varlıklarını tutan herhangi bir sözleşme için kaynak kodu doğrulamasının temel bir gereklilik haline gelmesini öneriyor. Denetimler ve hata ödülleri, yalnızca vekilin kendisini değil, aynı zamanda vekil yapılarının arkasındaki uygulama sözleşmelerini de kapsamalıdır. Bu olmadan, Truebit'inki gibi sözleşmeler yıllarca açıkta kalabilir. Şimdi sektörün üzerinde asılı duran soru: Daha kaç tane doğrulanmamış sözleşme var, kullanıcı parasını tutuyor ve ters derlenmeyi bekliyor?
