पिछले छह महीनों में, Chainalysis की रिपोर्ट के अनुसार, अटैकर्स ने अनवेरिफाइड स्मार्ट कॉन्ट्रैक्ट्स पर चलने वाले प्रोटोकॉल्स से कम से कम $36.7 मिलियन चुरा लिए। कंपनी ने इस बढ़ते एक्सप्लॉइट डेवलपमेंट को AI-असिस्टेड टूल्स से जोड़ा है।
अब, लेटेस्ट लार्ज लैंग्वेज मॉडल्स (LLMs) डी-कंपाइल्ड बाइटकोड को उस गति और स्केल पर एनालाइज कर सकते हैं, जिसे इंसानी टीम छू भी नहीं सकती। इसी वजह से, पहले जो क्लोज़्ड-सोर्स कॉन्ट्रैक्ट्स अटैकर्स को रोकते थे, अब वे भी सिस्टेमैटिक टारगेट बन गए हैं।
अब छुपा हुआ कोड DeFi प्रोटोकॉल्स की सुरक्षा क्यों नहीं करता?
ज्यादातर बड़े Decentralized Finance (DeFi) प्रोटोकॉल्स अपना सोर्स कोड पब्लिश और वेरिफाई करते हैं ब्लॉक एक्सप्लोरर्स पर। लेकिन कुछ इसे क्लोज़ रखते हैं, ये सोचकर कि ओब्स्क्युरिटी से अटैकर्स से सुरक्षा मिलेगी।
Chainalysis ने पाया कि यह दांव अब फेल हो रहा है। Dedaub, Heimdall और Panoramix जैसे डी-कंपाइलर अब रॉ बाइटकोड को पढ़ने लायक Solidity में कन्वर्ट कर देते हैं।
डी-कंपाइल होने के बाद, कोड सीधे LLMs को फीड होता है, जो रिएंट्रेंसी बग्स, एक्सेस कंट्रोल गैप्स और अरिथमैटिक एरर्स को तुरंत फ्लैग कर देते हैं।
जब ये मॉडल्स ऑटोमेटेड पाइपलाइन्स से जुड़ जाते हैं, तो हजारों अनवेरिफाइड कॉन्ट्रैक्ट्स को स्कैन कर सकते हैं। इसके बाद टारगेट्स को उनकी एक्सप्लॉइटेबिलिटी और पोटेंशियल यील्ड के आधार पर सिलेक्ट किया जाता है।
“जो काम कभी किसी स्किल्ड रिवर्स इंजीनियर को एक कॉन्ट्रैक्ट पर कई दिन लगाने पर ही हो पाता था, अब वो आंशिक रूप से पूरे ब्लॉकचेन के अनवेरिफाइड कॉन्ट्रैक्ट इन्वेंट्री में ऑटोमेट किया जा सकता है। ऐसे पाइपलाइन्स ऑपरेट करने वाले अटैकर्स को स्ट्रक्चरल ऐडवांटेज मिलती है: वे डिफेंडर्स की तुलना में बहुत ज्यादा जगह कवर कर सकते हैं, जो सस्पिशियस एक्टिविटी पर नजर रखते हैं,” Chainalysis ने बताया।
Anthropic ने भी पाया कि AI अब लो-स्किल्ड हैकर्स के लिए एडवांस्ड अटैक स्टेप्स परफॉर्म कर सकता है, जिससे ओवरऑल थ्रेट लेवल और बढ़ जाता है।
वहीं, अनवेरिफाइड कॉन्ट्रैक्ट्स ओपन-सोर्स कोड की अनौपचारिक सिक्योरिटी लेयर से भी बाहर रहते हैं। व्हाइट-हैट रिसर्चर्स इन्हें पढ़ नहीं सकते, और कई प्रोटोकॉल्स ने जिन्हें एक्सप्लॉइट किया गया, उन्होंने इन कॉन्ट्रैक्ट्स को अपने बग बाउंटी प्रोग्राम्स से बाहर रख दिया।
लेटेस्ट क्रिप्टो न्यूज़ सबसे पहले पाने के लिए हमें X पर फॉलो करें
Truebit हैक ने सिस्टेमैटिक वल्नरेबिलिटी हंटिंग को दिखाया
सबसे बड़ा इंसिडेंट 8 जनवरी को हुआ, जब एक अटैकर ने Truebit से $26.2 मिलियन निकाल लिए। 2021 से यह वल्नरेबल कॉन्ट्रैक्ट Ethereum (ETH) पर अनवेरिफाइड पड़ा हुआ था।
इसके बॉन्डिंग कर्व में integer overflow के कारण अटैकर लगभग फ्री में टोकन मिंट कर सका और फिर उन्हें असली ETH में बर्न कर दिया। खास बात यह है कि इसी पते ने बारह दिन पहले Sparkle protocol से 5 ETH भी निकाले थे।
“यह कोई मौका देखकर किया गया हमला नहीं था; एक्सप्लॉइटर ने दोनों, वेरिफाइड और अनवेरिफाइड कॉन्ट्रैक्ट्स में बग्स ढूंढने की प्लानिंग पहले से कर रखी थी। छोटे टारगेट्स से शुरुआत करके वह $26 मिलियन की बड़ी रकम तक पहुँचा, और दोनों हमलों से मिली रकम को Tornado Cash के ज़रिए मनी लॉन्डर किया गया,” रिपोर्ट में बताया गया।
इसी बीच, Anthropic रिसर्च से पता चला है कि AI एजेंट्स स्मार्ट कॉन्ट्रैक्ट्स का ऑटोमेटिकली गलत फायदा उठा सकते हैं और मिलियन्स में डॉलर का नुकसान कर सकते हैं। इसमें वो कॉन्ट्रैक्ट्स भी शामिल हैं जो मॉडल के नॉलेज cutoff के बाद डिप्लॉय किए गए। सिक्योरिटी एक्सपर्ट्स पहले ही वॉर्न कर चुके हैं कि AI एजेंट्स DeFi में ह्यूमन ऑडिटर्स से तेज हो चुके हैं। पूरा न्यूज़ यहां पढ़ें।
Chainalysis को उम्मीद है कि ये ट्रेंड और तेज़ होगा, क्योंकि decompilation टूल्स बेहतर हो रहे हैं और अनवेरिफाइड कॉन्ट्रैक्ट्स की संख्या भी बढ़ेगी। कंपनी ने सभी प्रोटोकॉल्स से अपील की है कि वे डिप्लॉय किए गए कोड को वेरिफाई करें, bug बाउंटी का दायरा बढ़ाएं, और real-time ऑन-चेन मॉनिटरिंग को अपनाएं।
हमारे YouTube चैनल को सब्सक्राइब करें – जहां लीडर्स और जर्नलिस्ट्स एक्सपर्ट इनसाइट्स शेयर करते हैं
