Nanakaw ng mga attacker ang nasa $36.7 milyon mula sa mga protocol na gumagamit ng unverified smart contracts sa nakalipas na anim na buwan, ayon sa Chainalysis. Ayon sa report, konektado raw ang pagdami ng hacks na ito sa AI na tumutulong gumawa ng mga exploit.
Ngayon, kaya na ng mga malalaking language model (LLMs) na pag-aralan ang na-decompile na bytecode nang mas mabilis at mas marami kesa sa kahit sinong human team. Dahil dito, ‘yung mga dating closed-source na contracts na dati iniwasan ng mga attacker, nagiging standard target na ngayon.
Bakit Hindi Na Sapat ang Hidden Code Para Protektahan ang DeFi Protocols
Karamihan ng malalaking Decentralized Finance (DeFi) protocols ay nagpo-post at nagve-verify ng source code nila gamit ang block explorers. Pero meron pa ring ilan na itinatago pa rin ang code nila, umaasa na ‘yong pagiging closed-source ay magproprotekta sa kanila laban sa mga attacker.
Nadiskubre ng Chainalysis na hindi nagwo-work ang ganung diskarte. Dahil gamit na ngayon ang mga decompiler tools katulad ng Dedaub, Heimdall, at Panoramix para gawing madaling basahin ang raw bytecode sa Solidity.
Kapag na-decompile na, puwede nang ipasok agad ang code sa LLMs na kayang mag-flag ng mga reentrancy bug, mga kulang sa access control, at arithmetic errors.
Kapag inikabit sa automated pipeline, kaya ng mga model na ‘to mag-scan ng libo-libong unverified smart contract. Pinipili nila ang mga target base sa gaano kadaling ma-exploit at kung ano ang posible nilang kitain.
“Yung dating kailangan ng isang expert reverse engineer na ilang araw para lang i-analyze ang isang contract, ngayon kaya nang i-automate partly sa buong blockchain gamit ang LLMs. Mas lamang na ngayon ang mga attacker na gumagamit ng gantong pipeline — kaya nilang maghanap ng vulnerabilities nang mas mabilis kumpara sa mga defender na nagmo-monitor ng suspicious activity,” ayon sa Chainalysis.
Ipinakita rin ng Anthropic na kaya na rin ng AI mag-perform ng advanced hacking steps kahit ng mga hacker na hindi expert, kaya lumalala ang banta sa security.
Sabay nito, ang mga unverified contract, hindi rin dumadaan sa community review na nagbibigay ng dagdag na proteksyon sa open-source na code. Hindi nababasa ng mga white-hat researcher ang mga ito, at marami sa mga protocol na na-exploit ay hindi isinama ang ganitong contracts sa bug bounty nila.
I-follow kami sa X para palaging updated sa latest crypto news
Truebit Hack: Patunay ng Systematic na Vulnerability Hunting
Pinakamalaki sa mga incident ay nangyari noong January 8 nang manakaw ng attacker ang $26.2 milyon mula sa Truebit. Yung problematic na contract, nakatambak lang na unverified sa Ethereum (ETH) simula pa noong 2021.
Dahil sa integer overflow bug sa bonding curve, nag-mint ang attacker ng tokens halos libre lang, tapos binenta niya ito para makakuha ng totoong ETH. Kapansin-pansin, yung same address ang nagdrain din sa Sparkle protocol para sa 5 ETH, labing-dalawang araw lang ang pagitan.
“Hindi tsamba ang nangyari dito; sistematikong hinanap talaga ng attacker ang mga vulnerability sa parehong verified at unverified contracts, nagsimula siya sa maliliit na target hanggang nakakuha ng $26 milyon, at ginamit niya ang Tornado Cash para mag-launder ng kinita sa parehong exploit,” dagdag ng report.
Sabay nito, pinakitang posible ng Anthropic research na ang mga AI agent ay kayang automatic na mag-exploit ng smart contracts at makapagnakaw ng milyon-milyong dolyar — kahit pa yung contracts na na-deploy pagkatapos ng cutoff ng kaalaman ng mga model na ‘to. May babala na rin ang mga security expert na nalalampasan na ng AI agent ang mga human auditor sa pagbantay sa mga DeFi protocol.
Sabi ng Chainalysis, malamang na mas lalala pa ang trend na ‘to habang gumagaling ang mga decompiler at dumadami ang mga unverified contract. Kaya nagrerekomenda sila na dapat i-verify ng mga protocol ang lahat ng code na ide-deploy, palawakin ang bug bounty programs, at gumamit ng real-time on-chain monitoring.
Mag-subscribe sa YouTube channel namin para mapanood ang expert insights ng mga crypto leader at journalist
