Najveći pojedinačni gubitak zabeležen na Truebitu sa 26,2 miliona dolara; AI alati olakšavaju napade na skriveni kod
Ekosistem decentralizovanih finansija (DeFi) pretrpeo je gubitke od najmanje 36,7 miliona dolara (oko 4,1 milijarde dinara) tokom poslednjih šest meseci usled napada na neproverene smart kontrakte, pokazuju podaci blockchain analitičke firme Chainalysis. Najveći incident dogodio se na protokolu Truebit, koji je izgubio 26,2 miliona dolara nakon što je napadač iskoristio integer overflow ranjivost u kontraktu koji nije bio verificiran na Ethereum blockchainu od 2021. godine. Ostali zabeleženi napadi uključivali su protokole Trusted Volumes, Aperture Finance i Ekubo.
U svim slučajevima, pogođeni smart kontrakti nisu bili javno verifikovani, što znači da njihov izvorni kod nije bio dostupan za pregled zajednici ili sigurnosnim istraživačima. To je, prema Chainalysis, onemogućilo uključivanje u bug bounty programe i povećalo rizik za korisnička sredstva. Kompanija ističe da su napadači iskoristili napredak u alatima za dekompilaciju i veštačku inteligenciju kako bi automatizovali pretragu ranjivosti i reverzno inženjerisali bytecode, iako izvorni kod nije objavljen.
Ovakav trend dovodi u pitanje dugogodišnju pretpostavku u DeFi zajednici da tajnost koda donosi dodatni nivo zaštite. Chainalysis upozorava da oslanjanje na “bezbednost kroz skrivenost” brzo gubi na efektivnosti, pogotovo jer AI alati omogućavaju napadačima da efikasnije identifikuju propuste. Kao preporuke, Chainalysis navodi verifikaciju izvornog koda, proširenje bug bounty programa i uvođenje alata za monitoring u realnom vremenu kako bi se smanjio rizik od budućih eksploatacija.
Ovaj izveštaj dolazi nakon što je u aprilu zabeležen rekordan iznos gubitaka u DeFi sektoru – prema DeFiLlama, hakeri su tada ukrali 629,7 miliona dolara, najviše na mesečnom nivou od februara 2025. Ključni incidenti uključili su KelpDAO sa gubitkom od 293 miliona dolara i Drift Protocol sa 280 miliona dolara. Iako su u maju gubici opali na 68,3 miliona dolara prema CertiK podacima, posledice najvećih napada i dalje su prisutne. Tako je u junu otkriveno da je napadač sa KelpDAO protokola uspeo da iznese gotovo sve od 220 miliona dolara sredstava koja nisu bila zamrznuta.
Serija ovih napada podstakla je brojne DeFi protokole da revidiraju svoju sigurnosnu infrastrukturu, a pojedini su najavili prelazak na Chainlink crosschain rešenja. Uz to, zabeležen je i porast zloupotrebe veštačke inteligencije u pripremi sajber napada – prema podacima Anthropic, 560 od 832 suspendovana naloga koristilo je AI za razvoj malvera i identifikaciju ranjivosti. DeFi sektor ostaje pod pritiskom da unapredi standarde provere i transparentnosti koda kako bi zaštitio sredstva korisnika u uslovima sve sofisticiranijih pretnji.
