Chainalysis: $37 млн украли из непроверенных DeFi‑контрактов за полгода
Ключевые факты
- Chainalysis связывает $36,7 млн потерь в DeFi-эксплойтах с неверифицированными смарт‑контрактами.
- Truebit потерял $26 млн в сети Ethereum в январе.
- За шесть месяцев произошло четыре инцидента: Truebit, Trusted Volumes, Aperture Finance и Ekubo. Совокупные потери — $36,7 млн, по данным Chainalysis.
- Chainalysis указывает: атакующий Truebit сначала протестировал метод на более мелких целях.
Причины и уязвимости
- Контракт Truebit находился в сети Ethereum с 2021 года.
- В коде использовалась Solidity v0.5.3 — до автоматических проверок переполнения.
- Целочисленное переполнение в кривой бондинга позволило атакующему чеканить токены по заниженной цене и обменивать их на ETH, по данным Chainalysis.
- Неверифицированный код не проходит публичный обзор. Баунти‑программы часто исключают такие контракты.
- Уязвимости могут оставаться годами, пока через контракт проходят средства, отмечает отчёт.
Техника атаки и инструменты
- Атакующие декомпилируют байткод с помощью Dedaub, Heimdall и Panoramix.
- Затем используют ИИ для массового поиска уязвимостей: реэнтранси, арифметические ошибки и сбои контроля доступа, по данным Chainalysis.
- $36,7 млн — небольшая доля из >$1 млрд краж в DeFi за период. Chainalysis предупреждает: автоматизированное сканирование расширяет риск по мере удешевления инструментов, см. обзор за шесть месяцев здесь.
Типовые баги
- Целочисленное переполнение.
- Сбои контроля доступа.
- Ошибки валидации входных данных.
- Ошибки проверки идентичности.
- Перечень уязвимостей подтверждён Chainalysis.
Паттерн риска
- Нет публичного исходного кода.
- Нет внешнего аудита.
- Нет мониторинга аномалий в реальном времени, указывает компания.
Рекомендации Chainalysis
- Базовая верификация исходного кода для любого контракта, который удерживает активы.
- Аудиты и баг‑баунти должны покрывать контракты‑реализации за прокси, а не только сам прокси‑контракт и его публичную логику, по отчёту.