Хакеры украли $36,7 млн благодаря годами не проверявшимся смарт-контрактам

С начала года злоумышленники украли около $36,7 млн из пяти крупных протоколов децентрализованных финансов (DeFi). Причина — уязвимости смарт-контрактов, чей исходный код никогда не проходил публичную проверку, сообщили аналитики компании Chainalysis.

Атаки хакеров упростились благодаря развитию искусственного интеллекта и инструментов декомпиляции смарт‑контрактов. ИИ-модели могут легко читать коды в блокчейне и выявлять типичные уязвимости — проблемы повторного входа (reentrancy), сбои в контроле доступа и арифметические ошибки, рассказали специалисты по безопасности.

Злоумышленники создают специальные автоматизированные конвейеры — эти системы способны одновременно сканировать тысячи контрактов и выбирать цели, исходя из возможности взлома и потенциальной прибыли, сообщает Chainalysis. По словам аналитиков, то, что раньше требовало много дней ручного анализа, теперь частично автоматизируется в больших масштабах и занимает несколько часов. В итоге у злоумышленников просто нет конкурентов: специалисты по безопасности не проверяют контракты годами, и у хакеров образовалось широкое поле для деятельности.

Chainalysis зафиксировала с начала года четыре случая крупных атак на непроверенные контракты протоколов. Крупнейшая атака произошла 8 января на протокол Truebit — ущерб составил около $26,2 млн. Следующий инцидент затронул Trusted Volumes: злоумышленники похитили $5,9 млн из‑за недостатков системы контроля доступа. Атака на Aperture Finance привела к потере $3,2 млн — проблема возникла из‑за обхода проверки входных данных. Наконец, в мае в рамках атаки на Ekubo было украдено $1,4 млн — после того, как функция обратного вызова не смогла подтвердить личность плательщика. Во всех случаях взломанные контракты не были проверены в обозревателях блокчейна и не имели публично доступного исходного кода на момент атаки, сообщили эксперты Chainalysis

Что касается атаки на протокол Truebit — уязвимый контракт был развернут еще в 2021 году и все это время оставался непроверенным на Etherscan. Злоумышленники использовали ошибку переполнения целых чисел в механизме ценообразования протокола. Это позволило выпустить сотни миллионов необеспеченных токенов почти бесплатно, а затем обменять на реальные эфиры. Специалисты Chainalysis также нашли доказательства того, что хакер систематически искал уязвимые контракты, прежде чем перейти к атаке на Truebit. По словам экспертов по безопасности, злоумышленник тестировал уязвимости сразу в нескольких протоколах, прежде чем осуществить атаку.

Команда Chainalysis пришла к выводу: протоколы должны рассматривать проверку исходного кода как минимальный стандарт безопасности, а не как необязательную функцию. Аналитики компании рекомендуют криптопредпринимателям проверять все рабочие контракты, расширять программы вознаграждения за обнаружение ошибок, проводить аудит развернутого кода и внедрять мониторинг в реальном времени.

На днях децентрализованный проект идентификации Humanity Protocol, использующий сканирование ладони для подтверждения личности, подвергся атаке, в результате которой ущерб составил $32 млн.

Источник