По данным Chainaанализ, непроверенные смарт-контракты были связаны с потерями как минимум на 36,7 миллиона долларов в результате четырех эксплойтов DeFi за последние шесть месяцев, поскольку злоумышленники все чаще нацеливаются на протоколы, исходный код которых не является общедоступным.
Самый крупный инцидент произошел с Truebit, который потерял 26,2 миллиона долларов после того, как злоумышленник воспользовался уязвимостью целочисленного переполнения в контракте, который оставался непроверенным на Ethereum с 2021 года. Согласно отчету, другие инциденты касались Trusted Volumes, Aperture Finance и Ekubo.
В каждом случае использованный контракт не был проверен в обозревателе блокчейна, а это означает, что его исходный код не был публично доступен для проверки. По данным Chainaанализа, это ограничило контроль со стороны исследователей безопасности и исключило контракты из многих программ вознаграждения за обнаружение ошибок, несмотря на контроль над средствами пользователей.
В пяти протоколах были обнаружены эксплойты непроверенных смарт-контрактов. Источник: Цепной анализ
Chainaанализ отчасти объяснил эту тенденцию достижениями в области инструментов декомпиляции и искусственного интеллекта, которые могут помочь злоумышленникам провести реверс-инжиниринг байт-кода смарт-контракта и выявить уязвимости, даже если исходный код не является общедоступным. Согласно отчету, то, что когда-то требовало, чтобы «квалифицированный реверс-инженер тратил несколько дней на один контракт», теперь может быть частично автоматизировано для большого количества непроверенных контрактов.
Отчет бросает вызов давнему предположению DeFi о том, что сохранение конфиденциальности кода смарт-контракта обеспечивает дополнительный уровень безопасности. По данным Chainaанализа, протоколы, основанные на скрытом коде, все больше зависят от «неясности как меры безопасности», и этот подход, по словам компании, быстро теряет эффективность.
Chainaанализ рекомендовал проверку исходного кода, более широкое покрытие ошибок и инструменты мониторинга в реальном времени в качестве защиты от будущих эксплойтов.
Проблемы безопасности DeFi сохраняются после рекордных апрельских потерь
Отчет появился на фоне более широкого роста количества крипто-эксплойтов. По данным DeFiLlama, только в апреле хакеры украли 629,7 миллиона долларов, что является самой высокой месячной суммой с февраля 2025 года.
Большая часть потерь приходится на два инцидента. KelpDAO потеряла 293 миллиона долларов, а Drift Protocol пострадал от эксплойта на 280 миллионов долларов, что в совокупности составляет более 80% украденных средств за месяц.
Хотя потери резко сократились в мае: CertiK сообщила, что в результате взлома криптовалюты было украдено 68,3 миллиона долларов, последствия крупнейших атак апреля продолжались. В июне аналитическая платформа блокчейна Arkham сообщила, что злоумышленник, стоящий за эксплойтом KelpDAO, отмыл почти все из примерно 220 миллионов долларов размороженных украденных средств.
Кошелек с меткой Kelp DAO Hacker, общий баланс. Источник: Аркхэм
Эксплойт KelpDAO также побудил несколько протоколов DeFi пересмотреть свою инфраструктуру безопасности, при этом проекты, включая протокол Solv, объявили о планах перехода на кроссчейн-инфраструктуру Chainlink после внутренних проверок безопасности.
В этом месяце Anthropic сообщила, что 560 из 832 учетных записей, которые она заблокировала за нарушение правил за год, использовали ИИ для подготовки кибератак, включая написание вредоносного ПО и выявление уязвимостей.
