據區塊鏈分析公司 Chainalysis 稱,今年 1 月從基於以太坊的協議 Truebit 竊取 2600 萬美元的加密貨幣黑客很可能先在較小的目標上練習過這種技術。
一份暴露多年的合同
Chainalysis 在一份涵蓋過去六個月的最新報告中指出,Truebit 遭受的攻擊是其中規模最大的一起。這些攻擊分別針對 Truebit、Trusted Volumes、Aperture Finance 和 Ekubo,共造成約 3700 萬美元的損失,所有損失均可追溯到那些源代碼從未在區塊鏈瀏覽器上公開驗證過的合約。
Truebit 合約自 2021 年起就運行在以太坊上。它使用 Solidity v0.5.3 編譯,該版本發佈時自動溢出保護尚未成為標準功能。攻擊者在其綁定曲線機制中發現了一個整數溢出漏洞,並利用該漏洞以極低的成本鑄造了大量代幣,然後將其轉換為ETH。
為什麼封閉式代碼會帶來開放性風險
經過驗證的合同會受到審查。漏洞賞金獵人會仔細閱讀這些合同。獨立研究人員會在攻擊者之前發現問題。未經驗證的合同則不會受到任何審查,許多漏洞賞金計劃甚至明確將它們排除在外——這意味著漏洞可能多年無人問津,而數百萬美元卻在受影響的代碼中流轉。
Chainalysis指出,攻擊者目前正是利用了這一漏洞。四個被攻破的合約均缺乏公開的源代碼。攻擊者轉而利用反編譯後的字節碼,使用Dedaub、Heimdall和Panoramix等工具將鏈上的原始代碼轉換為可讀的輸出。
反編譯後的代碼可以輸入到人工智能系統中,這些系統能夠發現重入漏洞、算術錯誤和訪問控制弱點,其規模是任何人類審查員都無法比擬的。
3670萬美元的損失只是同期DeFi總損失的一小部分——Chainalysis估計,過去六個月的DeFi總損失超過10億美元。但該公司認為,隨著自動化分析工具變得越來越便宜、越來越容易使用,未經驗證的合約問題可能會更加嚴重,攻擊者可以掃描大量休眠合約,並根據其可利用性對其進行排名。
漏洞各不相同,但模式並非相同
這四起事件中的具體漏洞各不相同。報告顯示,漏洞涵蓋了整數溢出、訪問控制失敗、輸入驗證錯誤以及身份驗證缺陷等。
它們共同存在的是同樣的保護漏洞:沒有公開源代碼,沒有外部審查,也沒有實時監控來發現異常活動,以免資金流失。
Chainalysis 建議協議將源代碼驗證作為持有用戶資產的任何合約的基本要求。
該公司還表示,審計和漏洞賞金計劃的覆蓋範圍應該擴展到代理結構後面的實施合同——即使正面合同經過驗證,這些組件也常常未經審查。
題圖來自 CybersecAsia ,圖表來自 TradingView
