С начала текущего года киберпреступники опустошили казну пяти крупных DeFi-протоколов на общую сумму порядка $36,7 млн. Аналитики Chainalysis бьют тревогу: главным вектором атак стали уязвимости в смарт-контрактах, чей исходный код так и не прошел процедуру публичной верификации. Ситуация критически усугубляется технологической революцией: развитие искусственного интеллекта и продвинутых инструментов декомпиляции фактически поставило взлом на поток. Нейросети теперь способны в автоматическом режиме сканировать блокчейн, мгновенно выявляя классические бреши — от арифметических неточностей и ошибок контроля доступа до уязвимостей повторного входа (reentrancy).
По данным экспертов, хакеры выстроили настоящие автоматизированные конвейеры. Эти алгоритмы за считанные часы просеивают тысячи смарт-контрактов, ранжируя их по критерию «уязвимость/потенциальная прибыль». То, на что у безопасников уходили дни кропотливого ручного аудита, теперь делается машинами в промышленных масштабах. Возник опасный дисбаланс: разработчики годами игнорируют базовые проверки, оставляя киберпреступникам безграничное поле для деятельности, где у хакеров просто нет достойных соперников по скорости.
Отчет Chainalysis детализирует эту мрачную статистику, приводя в пример четыре громких инцидента, объединенных одной фатальной ошибкой — отсутствием верификации кода в блокчейн-обозревателях. Самым болезненным стал удар по протоколу Truebit 8 января, унесший $26,2 млн. Злоумышленник эксплуатировал баг переполнения целых чисел в ценовом механизме контракта, развернутого еще в 2021 году. Это позволило ему наминтить сотни миллионов необеспеченных токенов за копейки и тут же обменять их на «живой» эфир. Примечательно, что перед этой атакой хакер устроил «тест-драйв» своих скриптов на других протоколах, оттачивая алгоритм взлома.
Подводя итог, аналитики Chainalysis выносят жесткий вердикт: верификация исходного кода в обозревателях блоков должна перестать восприниматься как опция и стать непреложным базовым стандартом безопасности. Чтобы выжить в эпоху ИИ-взломов, криптопредпринимателям необходимо кардинально пересмотреть подход к защите: внедрять непрерывный мониторинг транзакций в реальном времени, запускать щедрые программы bug bounty и обязательно проводить аудит уже развернутых в сети контрактов.
