Un hacker de criptomonedas que drenó 26 millones de dólares del protocolo basado en Ethereum, Truebit, en enero, probablemente practicó la técnica en objetivos más pequeños primero, según la firma de análisis de blockchain Chainalysis.
Un contrato dejado expuesto durante años
El exploit de Truebit fue el más grande de los cuatro incidentes que Chainalysis identificó en un nuevo report que cubre los últimos seis meses. En conjunto, esos ataques — dirigidos a Truebit, Trusted Volumes, Aperture Finance y Ekubo — representan aproximadamente 37 millones de dólares en pérdidas, todas vinculadas a contratos cuyo código fuente nunca se verificó públicamente en los exploradores de blockchain.
El contrato de Truebit había estado en Ethereum desde 2021. Fue compilado usando Solidity v0.5.3, una versión lanzada antes de que las protecciones automáticas contra desbordamientos se convirtieran en estándar. Un atacante encontró una vulnerabilidad de desbordamiento entero dentro de su mecanismo de curva de vinculación y la utilizó para crear grandes cantidades de tokens a costo mínimo antes de convertirlos a ETH.
Por qué el código cerrado crea riesgo abierto
Los contratos verificados son revisados. Los cazadores de recompensas de bugs los leen. Los investigadores independientes señalan problemas antes que los atacantes. Los contratos no verificados no reciben ninguna de esas revisiones, y muchos programas de recompensas excluyen específicamente a estos contratos de su cobertura, lo que significa que las vulnerabilidades pueden permanecer sin tocar durante años mientras millones de dólares fluyen a través del código afectado.
Esa brecha es lo que Chainalysis dice que los atacantes están explotando ahora. Cada uno de los cuatro contratos comprometidos carecía de código fuente disponible públicamente. Los atacantes trabajaron, en cambio, a partir de bytecode descompilado, convirtiendo el código crudo en cadena en una salida legible usando herramientas como Dedaub, Heimdall y Panoramix.
Una vez descompilado, el código puede alimentarse a sistemas de IA capaces de detectar fallas de reentrada, errores aritméticos y debilidades de control de acceso a una escala que ningún revisor humano podría igualar.
La cifra de 36,7 millones de dólares es solo una fracción de las pérdidas totales de DeFi durante el mismo período — Chainalysis sitúa el robo total de seis meses por encima de 1 mil millones de dólares. Pero la firma sostiene que el problema de los contratos no verificados podría crecer a medida que las herramientas de análisis automatizado se vuelvan más baratas y fáciles de usar, permitiendo a los atacantes escanear gran número de contratos inactivos y clasificarlos según su explotabilidad.
Las vulnerabilidades variaron, pero el patrón noEn los cuatro incidentes, los errores específicos difirieron. Los informes indican que las debilidades abarcaron desde desbordamiento entero y fallos de control de acceso hasta errores de validación de entrada y fallas en la verificación de identidad.
Lo que compartieron fue la misma brecha de protección: sin código fuente público, sin revisión externa y sin monitoreo en tiempo real para detectar actividad anómala antes de que los fondos desaparecieran.
Chainalysis recomienda que los protocolos traten la verificación del código fuente como un requisito básico para cualquier contrato que mantenga activos de usuarios.
La firma también dice que las auditorías y la cobertura de recompensas de bugs deberían extenderse a los contratos de implementación que se encuentran detrás de estructuras proxy — componentes que a menudo quedan sin revisión incluso cuando el contrato frontal está verificado.
Imagen destacada de CybersecAsia, gráfico de TradingView