Secondo Chainalysis, attaccanti hanno rubato almeno 36,7 milioni di dollari da protocolli che eseguivano smart contract non verificati negli ultimi sei mesi. L’azienda collega questo aumento allo sviluppo di exploit assistiti dall’intelligenza artificiale.
I modelli di linguaggio di grandi dimensioni (LLM) ora possono analizzare il bytecode decompilato a una velocità e scala che nessun team umano può eguagliare. Di conseguenza, i contract a codice chiuso che un tempo scoraggiavano gli attaccanti sono diventati bersagli sistematici.
Perché il codice nascosto non protegge più i protocolli DeFi
La maggior parte dei principali protocolli di Decentralized Finance (DeFi) pubblica e verifica il proprio codice sorgente su block explorer. Tuttavia, alcuni mantengono il proprio codice chiuso, confidando che l’oscurità li proteggerà dagli attaccanti.
Chainalysis ha scoperto che questa strategia sta fallendo. Decompiler come Dedaub, Heimdall e Panoramix ora trasformano il bytecode grezzo in Solidity leggibile.
Una volta decompilato, il codice viene fornito direttamente agli LLM che segnalano bug di reentrancy, lacune nei controlli di accesso ed errori aritmetici.
Integrati in pipeline automatizzate, questi modelli possono analizzare migliaia di contract non verificati. Successivamente, selezionano i target in base alla sfruttabilità stimata e al potenziale rendimento.
“Quello che una volta richiedeva a un abile reverse engineer di trascorrere giorni su un singolo contract può ora essere in parte automatizzato su tutto l’inventario di contract non verificati di una blockchain. Gli attaccanti che utilizzano queste pipeline ottengono un vantaggio strutturale: possono coprire un’area molto più ampia rispetto ai difensori che monitorano le attività sospette,” ha spiegato Chainalysis.
Anche Anthropic ha rilevato che l’IA può ora eseguire passaggi di attacco avanzati per hacker poco esperti, aumentando così la minaccia complessiva.
Nel frattempo, i contract non verificati sfuggono anche alla protezione informale offerta dal layer di sicurezza del codice open-source. I ricercatori white-hat non possono leggerli, e diversi protocolli colpiti da exploit hanno escluso questi contract dai loro programmi di bug bounty.
Seguici su X per ricevere le ultime notizie in tempo reale
L’attacco a Truebit mostra una caccia sistematica alle vulnerabilità
Il caso più grave si è verificato l’8 gennaio, quando un attaccante ha drenato 26,2 milioni di dollari da Truebit. Il contract vulnerabile era rimasto non verificato su Ethereum (ETH) dal 2021.
Un overflow di interi nella sua bonding curve ha permesso all’attaccante di mintare token praticamente a costo zero, per poi bruciarli e ricevere veri ETH. In particolare, lo stesso indirizzo aveva drenato il protocollo Sparkle per 5 ETH solo dodici giorni prima.
“Non si è trattato di un exploit fortuito; l’autore era alla ricerca metodica di vulnerabilità su contract sia verificati che non verificati, aumentando progressivamente il valore dei target fino a una ricompensa di 26 milioni di dollari, e i proventi di entrambi gli attacchi sono stati riciclati tramite Tornado Cash,” prosegue il report.
Nel frattempo, ricerche di Anthropic hanno dimostrato che agenti IA possono sfruttare autonomamente smart contract per milioni di dollari, incluse implementazioni avvenute dopo la data limite della conoscenza dei modelli. Anche gli esperti di sicurezza hanno già avvisato che gli agenti IA stanno superando gli auditor umani nell’ambito DeFi.
Chainalysis si aspetta che questa tendenza acceleri con il miglioramento degli strumenti di decompilazione e l’aumento dei contract non verificati. L’azienda raccomanda ai protocolli di verificare tutto il codice deployato, ampliare la portata dei bug bounty e adottare strumenti di monitoraggio on-chain in tempo reale.
Iscriviti al nostro canale YouTube per guardare leader e giornalisti offrire analisi esperte
