原文:Unverified DeFi contracts linked to $36.7M in losses: Chainalysis
根据 Chainaanalysis 的数据,过去六个月中,由于攻击者越来越多地针对源代码未公开的协议,未经验证的智能合约在四次 DeFi 攻击中造成了至少 3670 万美元的损失。
最大的事件涉及 Truebit,攻击者利用了自 2021 年以来在以太坊上未经验证的合约中的整数溢出漏洞,该公司损失了 2620 万美元。报告称,其他事件涉及 Trusted Volumes、Aperture Finance 和 Ekubo。
在每种情况下,被利用的合约都没有在区块链浏览器上得到验证,这意味着其源代码无法公开供审查。根据 Chainaanalysis 的说法,尽管控制了用户资金,但这限制了安全研究人员的审查,并将合约排除在许多错误赏金计划之外。
有五个协议发现了对未经验证的智能合约的利用。资料来源:链分析
Chainaanalysis 将这一趋势部分归因于反编译工具和人工智能的进步,即使源代码未公开,也可以帮助攻击者对智能合约字节码进行逆向工程并识别漏洞。根据该报告,曾经需要“熟练的逆向工程师在单个合约上花费数天时间”的工作现在可以在大量未经验证的合约中实现部分自动化。
该报告挑战了 DeFi 领域长期以来的一个假设,即保持智能合约代码的私密性可以提供额外的安全层。根据 Chainaanalysis 的说法,依赖隐藏代码的协议越来越依赖于“作为安全措施的模糊性”,该公司表示这种方法正在迅速失去效力。
Chainaanalysis 建议源代码验证、更广泛的错误赏金覆盖范围和实时监控工具作为防范未来漏洞的保障措施。
相关:Humanity Protocol 代币因 3000 万美元的私钥漏洞而下跌 85%
4 月份创纪录损失后 DeFi 安全担忧依然存在
该报告是在更广泛的背景下发布的