区块链分析公司 Chainaanalysis 报告称,过去六个月中,针对未经验证的智能合约的一系列攻击已导致多个去中心化金融 (DeFi) 协议损失超过 3600 万美元。最大的单一事件涉及基于以太坊的 Truebit 协议的利用,导致 2600 万美元被盗走。
这些攻击集中针对 Truebit、Trusted Volumes、Aperture Finance 和 Ekubo。在每种情况下,受损的合约都缺乏区块链浏览器上经过公开验证的源代码,因此很容易受到未被发现的缺陷的影响。
据 Chainaanalysis 称,Truebit 合约自 2021 年起就部署在以太坊上。它是使用 Solidity v0.5.3 编译的,这是在自动溢出保护成为标准之前发布的编译器版本。攻击者在其联合曲线机制中发现了整数溢出缺陷,从而能够在将代币交换为以太坊(ETH)之前以最低的成本铸造大量代币。
该公司强调,经过验证的合约受益于社区审查、错误赏金计划和独立研究人员的审查。未经验证的合约不会受到任何此类监督,并且许多错误赏金计划明确排除它们,从而使漏洞持续存在多年,而大量资金通过代码流动。
攻击者通过反编译的字节码来利用这一漏洞。他们使用 Dedaub、Heimdall 和 Panoramix 等工具将原始链上字节码转换为可读格式。然后,可以将反编译的代码输入到人工智能驱动的系统中,该系统能够识别重入缺陷、算术错误和访问控制弱点,其规模是人类审计员无法比拟的。
虽然这些特定攻击造成的 3670 万美元损失仅占同一六个月期间超过 10 亿美元的 DeFi 盗窃总额的一小部分,但 Chainaanalysis 警告称,问题可能会升级。随着自动化分析工具变得越来越容易获取和负担得起,攻击者可以更轻松地扫描大量休眠的、未经验证的合约,并根据可利用性对它们进行排名。
这四起事件的具体漏洞各不相同,包括整数溢出、访问控制失败、输入验证错误和身份验证缺陷。共同因素是缺乏公共源代码、外部审查和实时监控,无法在资金被盗之前检测到异常活动。
Chainaanalysis 建议协议将源代码验证视为任何持有用户资产的合约的基线要求。该公司还建议,安全审计和错误赏金覆盖范围应扩大到代理结构背后的实施合同,即使主要代理合同得到验证,这些合同通常仍然未经审查。