据区块链分析公司 Chainalysis 称,今年 1 月从基于以太坊的协议 Truebit 窃取 2600 万美元的加密货币黑客很可能先在较小的目标上练习过这种技术。
一份暴露多年的合同
Chainalysis 在一份涵盖过去六个月的最新报告中指出,Truebit 遭受的攻击是其中规模最大的一起。这些攻击分别针对 Truebit、Trusted Volumes、Aperture Finance 和 Ekubo,共造成约 3700 万美元的损失,所有损失均可追溯到那些源代码从未在区块链浏览器上公开验证过的合约。
Truebit 合约自 2021 年起就运行在以太坊上。它使用 Solidity v0.5.3 编译,该版本发布时自动溢出保护尚未成为标准功能。攻击者在其绑定曲线机制中发现了一个整数溢出漏洞,并利用该漏洞以极低的成本铸造了大量代币,然后将其转换为ETH。
为什么封闭式代码会带来开放性风险
经过验证的合同会受到审查。漏洞赏金猎人会仔细阅读这些合同。独立研究人员会在攻击者之前发现问题。未经验证的合同则不会受到任何审查,许多漏洞赏金计划甚至明确将它们排除在外——这意味着漏洞可能多年无人问津,而数百万美元却在受影响的代码中流转。
Chainalysis指出,攻击者目前正是利用了这一漏洞。四个被攻破的合约均缺乏公开的源代码。攻击者转而利用反编译后的字节码,使用Dedaub、Heimdall和Panoramix等工具将链上的原始代码转换为可读的输出。
反编译后的代码可以输入到人工智能系统中,这些系统能够发现重入漏洞、算术错误和访问控制弱点,其规模是任何人类审查员都无法比拟的。
3670万美元的损失只是同期DeFi总损失的一小部分——Chainalysis估计,过去六个月的DeFi总损失超过10亿美元。但该公司认为,随着自动化分析工具变得越来越便宜、越来越容易使用,未经验证的合约问题可能会更加严重,攻击者可以扫描大量休眠合约,并根据其可利用性对其进行排名。
漏洞各不相同,但模式并非相同
这四起事件中的具体漏洞各不相同。报告显示,漏洞涵盖了整数溢出、访问控制失败、输入验证错误以及身份验证缺陷等。
它们共同存在的是同样的保护漏洞:没有公开源代码,没有外部审查,也没有实时监控来发现异常活动,以免资金流失。
Chainalysis 建议协议将源代码验证作为持有用户资产的任何合约的基本要求。
该公司还表示,审计和漏洞赏金计划的覆盖范围应该扩展到代理结构后面的实施合同——即使正面合同经过验证,这些组件也常常未经审查。
题图来自 CybersecAsia ,图表来自 TradingView
