Kẻ tấn công đã lấy cắp ít nhất 36.7 triệu USD từ các giao thức hoạt động trên smart contract chưa xác minh trong 6 tháng qua, theo báo cáo của Chainalysis. Công ty cho biết, làn sóng này xuất phát từ việc hacker tận dụng AI để phát triển các phương thức khai thác lỗ hổng.
Các mô hình ngôn ngữ lớn (LLMs) hiện có thể phân tích mã bytecode đã được dịch ngược với tốc độ và quy mô mà không nhóm con người nào theo kịp. Vì thế, những smart contract đóng mã nguồn mà trước đây từng là rào chắn cho hacker giờ đã trở thành mục tiêu bị săn tìm có hệ thống.
Tại sao mã ẩn không còn bảo vệ được giao thức DeFi
Hầu hết các giao thức tài chính phi tập trung (DeFi) lớn đều công khai và xác minh mã nguồn trên các block explorer. Tuy nhiên, vẫn có giao thức chọn cách giữ kín mã, nghĩ rằng sự che giấu này sẽ giúp họ an toàn hơn trước hacker.
Chainalysis nhận thấy, cách nghĩ này hiện không còn đúng. Các công cụ dịch ngược như Dedaub, Heimdall và Panoramix có thể chuyển đổi bytecode thô thành ngôn ngữ Solidity dễ đọc hơn.
Khi đã dịch ngược, mã nguồn này sẽ được đưa vào LLMs để phát hiện nhanh các lỗi như reentrancy, các lỗ hổng kiểm soát truy cập, hoặc lỗi số học.
Kết hợp vào các quy trình tự động, các mô hình AI này có thể quét hàng ngàn smart contract chưa xác minh. Sau đó, chúng sẽ ưu tiên tấn công dựa trên mức lợi nhuận và khả năng khai thác của mỗi smart contract.
“Điều mà trước kia cần đến những kỹ sư lão luyện với nhiều ngày nghiên cứu từng smart contract riêng lẻ, giờ đây có thể được tự động hóa một phần trên toàn bộ kho hợp đồng thông minh chưa xác minh của cả blockchain. Kẻ tấn công vận hành các quy trình tự động hóa này sở hữu lợi thế rõ ràng: họ tiếp cận được nhiều mục tiêu hơn hẳn các nhà bảo mật chỉ giám sát hành vi bất thường,” Chainalysis cho biết.
Nghiên cứu của Anthropic cũng chỉ ra rằng AI hiện nay có thể thực hiện các bước tấn công phức tạp mà trước đây chỉ hacker có kỹ năng cao mới làm được, làm tăng mức độ nguy hiểm của các đợt tấn công.
Trong khi đó, các smart contract chưa xác minh cũng “né” được một lớp bảo mật cộng đồng mà mã nguồn mở thường có. Các chuyên gia bảo mật không thể kiểm tra được những hợp đồng này, đồng thời có nhiều giao thức từng bị tấn công loại trừ hợp đồng đóng khỏi chương trình thưởng lỗi của mình.
Theo dõi chúng tôi trên X để cập nhật tin tức nhanh nhất
Vụ hack Truebit cho thấy việc khai thác lỗ hổng ngày càng hệ thống hóa
Vụ tấn công lớn nhất diễn ra vào ngày 08/01/2024, khi kẻ xấu chiếm đoạt 26.2 triệu USD từ Truebit. Hợp đồng gặp lỗi này đã nằm trên Ethereum (ETH) từ năm 2021 mà không được xác minh.
Một lỗi tràn số nguyên trong đường cong bonding đã cho phép hacker tạo ra token gần như miễn phí, rồi đốt chúng để rút ETH thật. Đáng chú ý, chính địa chỉ này đã “rút ruột” giao thức Sparkle lấy 5 ETH chỉ 12 ngày trước đó.
“Đây không phải một phát hiện tình cờ; kẻ tấn công đã tìm kiếm lỗ hổng có hệ thống trên cả hợp đồng đã xác minh và chưa xác minh, bắt đầu từ các mục tiêu nhỏ cho đến cú ‘ăn đậm’ 26 triệu USD. Số tiền kiếm được từ cả hai vụ đều được rửa thông qua Tornado Cash,” báo cáo nhấn mạnh.
Song song đó, nghiên cứu từ Anthropic cho thấy các AI agent có thể tự động khai thác smart contract để lấy hàng triệu USD, kể cả với hợp đồng được triển khai sau thời điểm cắt đứt dữ liệu của AI. Nhiều chuyên gia an ninh mạng đã cảnh báo các AI agent đang vượt mặt chuyên gia con người trong lĩnh vực DeFi.
Chainalysis dự đoán xu hướng này sẽ còn tăng tốc khi công cụ dịch ngược ngày càng hoàn thiện và số lượng smart contract chưa xác minh tiếp tục lớn mạnh. Công ty kêu gọi các giao thức cần xác minh toàn bộ mã khi đưa lên chuỗi, mở rộng phạm vi thưởng lỗi và áp dụng công cụ theo dõi on-chain theo thời gian thực.
Đăng ký kênh YouTube của chúng tôi để theo dõi những nhận định chuyên sâu từ các chuyên gia cũng như phóng viên
