أبلغت شركة تشينأناليسيس أن المهاجمين سرقوا ما لا يقل عن 36,7 مليون $ من بروتوكولات تستخدم عقوداً ذكية غير موثقة خلال الأشهر الستة الماضية، وأوضحت الشركة أن هذه الزيادة مرتبطة بتطوير الاستغلالات المدعومة بالذكاء الاصطناعي.
أصبح بإمكان النماذج اللغوية الكبيرة (LLMs) الآن تحليل البايت كود المفكك بسرعة ونطاق لا يمكن لأي فريق بشري منافسته. ونتيجة لذلك، أصبحت العقود المغلقة المصدر التي كانت في السابق تردع المهاجمين أهدافاً منتظمة لهجماتهم.
لماذا لم يعد الكود المخفي يحمي بروتوكولات التمويل اللامركزي (DeFi)
يقوم معظم بروتوكولات التمويل اللامركزي الكبيرة بنشر وتوثيق الشيفرة المصدرية الخاصة بهم على مستكشفات البلوكشين. مع ذلك، يحتفظ البعض بشيفرتهم مغلقة، معتمدين على فكرة أن الغموض سيحميهم من المهاجمين.
أوضحت شركة تشينأناليسيس أن هذا الرهان يفشل. حيث تقوم أدوات فك التشفير مثل ديداوب، هايمدال، وبانوراميكس الآن بتحويل البايت كود الخام إلى لغة سوليديتي قابلة للقراءة.
بعد فك التشفير، يتم إدخال الكود مباشرة إلى النماذج اللغوية الكبيرة التي تكشف عن ثغرات إعادة الدخول، وأوجه القصور في التحكم في الوصول، والأخطاء الحسابية.
عند دمجها في خطوط عمل آلية، يمكن لهذه النماذج مسح آلاف العقود غير الموثقة. تقوم بعد ذلك بتصنيف الأهداف حسب تقدير إمكانية الاستغلال والعائد المحتمل.
قالت شركة تشينأناليسيس إن ما كان يتطلب في السابق محللا عكسيا ماهرا يقضي أياماً على عقد واحد أصبح الآن من الممكن أتمتته جزئياً عبر جميع عقود البلوكشين غير الموثقة، مما يمنح المهاجمين الذين يديرون هذه الخطوط ميزة بنيوية: حيث يمكنهم تغطية نطاق أوسع بكثير من المدافعين الذين يراقبون الأنشطة المشبوهة.
اكتشفت شركة أنثروبيك أيضاً أن الذكاء الاصطناعي يستطيع القيام حالياً بخطوات هجومية متقدمة حتى للهواة قليلي المهارات، مما يزيد من التهديد الشامل.
في الوقت نفسه، تفلت العقود غير الموثقة أيضاً من طبقة الأمان غير الرسمية التي تحمي كود المصادر المفتوحة. فلا يمكن للباحثين البيض قراءة هذه العقود، وقد استثنت عدة بروتوكولات تعرضت للاستغلال هذه العقود من برامج مكافآت اكتشاف الثغرات الخاصة بها.
تابعنا على X للحصول على آخر الأخبار فور حدوثها
اختراق تروبيت يكشف نهج الصيد المنهجي للثغرات الأمنية
حدثت أكبر واقعة في 8 يناير، عندما قام مهاجم بسحب 26,2 مليون دولار من تروبيت. كان العقد الضعيف غير موثق على إيثريوم (eth) منذ 2021.
سمح تجاوز عدد صحيح في منحنى الربط الخاص به للمهاجم بسك العملات مقابل شبه لا شيء، ثم حرقها مقابل إيثريوم حقيقي. من الجدير بالذكر أن نفس العنوان كان قد استنزف بروتوكول سباركل مقابل 5 eth قبل اثني عشر يوماً فقط.
أضاف التقرير أن هذا لم يكن اكتشافاً عرضياً؛ بل كان المنفذ يبحث بشكل منهجي عن الثغرات في العقود الموثقة وغير الموثقة، متدرجاً من أهداف صغيرة إلى مكافأة بقيمة 26 مليون دولار، وتم غسل عائدات كلتا العمليتين عبر تورنادو كاش.
أظهرت أبحاث أنثروبيك في الوقت نفسه أن وكلاء الذكاء الاصطناعي بإمكانهم استغلال العقود الذكية بشكل مستقل لملايين الدولارات. يشمل ذلك العقود المُنشأة بعد تاريخ المعرفة للنماذج. وعلى الجانب الآخر، حذر خبراء الأمن بالفعل أن وكلاء الذكاء الاصطناعي يتفوقون على المدققين البشر عبر التمويل اللامركزي.
تتوقع تشيناليسيس تسارع هذا الاتجاه مع تحسن أدوات فك الترجمة ونمو عدد العقود غير الموثقة. تحث الشركة البروتوكولات على توثيق جميع الشيفرات المنشورة، توسيع نطاق مكافآت البحث عن الثغرات، وتبني المراقبة الفورية على السلسلة.
اشترك في قناتنا على يوتيوب لمتابعة القادة والصحفيين وهم يقدمون تحليلات احترافية
