Săptămâna asta a fost una de coșmar pentru câteva protocoale DeFi care păreau de mult uitate.
Trei atacuri separate, toate țintind contracte vechi din perioada 2020-2022, au dus la pierderi de aproximativ cinci milioane de dolari. Și uite că lucrul care îi sperie pe mulți din comunitate nu e neapărat suma, ci faptul că toate atacurile au vizat proiecte abandonate sau lăsate de izbeliște de echipele care le-au creat.
Unii cercetători de securitate bănuiesc că în spatele acestor atacuri ar putea fi cineva care folosește instrumente AI pentru a găsi și exploata vulnerabilități în codul vechi. Sună a science fiction, dar realitatea din DeFi e adesea mai ciudată decât ficțiunea.
Ce s-a întâmplat de fapt cu Ribbon Finance?
Totul a început vinerea trecută, când echipa de la Aevo (fostul Ribbon Finance, un protocol de opțiuni descentralizate) a anunțat că seifurile lor vechi, cele numite DOV vaults, au fost sparte.
Atacatorul a manipulat oracolul de prețuri și a reușit să scoată 2,7 milioane de dolari din aceste contracte moștenite.
Primul comunicat al echipei a încercat să calmeze apele, spunând că utilizatorii platformei actuale nu au de ce să se îngrijoreze. Doar că ce a urmat a stârnit o furtună. Într-o postare pe care au șters-o destul de repede, dezvoltatorii au venit cu un plan de despăgubire care, sincer, părea cam tras de păr.
Voiau să folosească 400.000 de dolari din banii lor, dar și active de la utilizatori pe care îi considerau „dormanți”, adică oameni care nu mai intraseră pe platformă de ceva vreme.
Reacția comunității a fost cam cum te-ai aștepta. Lumea s-a revoltat. Ideea că poți lua banii cuiva doar pentru că n-a mai intrat pe cont de câteva luni ridică niște întrebări serioase despre ce înseamnă proprietatea în crypto.
Câteva zile mai târziu, echipa Ribbon a dat înapoi și a clarificat că, de fapt, cei afectați vor pierde tot. Sută la sută. Nu e o veste bună pentru nimeni, dar măcar a eliminat confuzia legală legată de folosirea banilor altora fără permisiune.
Rari Capital, un proiect care refuză să moară în liniște
Al doilea atac a lovit Rari Capital, un protocol de lending care și-a închis oficial porțile în 2022. Atacul s-a produs pe 10 decembrie, dar ține-te bine, a trecut o săptămână întreagă până să observe cineva. Asta spune destul de mult despre cât de abandonat e proiectul.
Tehnica folosită a fost una destul de elegantă, dacă pot spune așa. Atacatorul a reușit să deturneze contractul de implementare și, practic, a împrumutat active fără să pună nicio garanție. Adică fix opusul a ceea ce ar trebui să se întâmple într-un protocol DeFi unde împrumuturile sunt supracolateralizate. Paguba: vreo două milioane de dolari.
Rari Capital are o istorie destul de tumultuoasă, trebuie să recunosc. În 2021, un prim hack le-a costat 15 milioane de dolari. Un an mai târziu, o breșă și mai nasoală a însemnat pierderi de 80 de milioane. După asta, echipa a zis pas și a închis totul. Problema e că, după datele de pe DeFiLlama, în contractele Rari mai sunt încă vreo 2,7 milioane de dolari. Bani ai unor oameni care n-au apucat sau n-au vrut să și-i retragă.
Și ca să fie tabloul complet, în septembrie 2024 echipa a ajuns la o înțelegere cu SEC-ul american, după ce autoritatea a constatat că protocolul a indus investitorii în eroare și a făcut brokeraj fără autorizație. Nu știm exact ce amenzi au primit, dar e clar că problemele Rari nu s-au limitat la hackuri.
Yearn Finance și bug-ul care nu vrea să dispară
Al treilea atac din serie a vizat iEarn Finance, care e practic bunicul lui Yearn Finance, cel mai cunoscut agregator de randament de pe Ethereum. Marți, un contract vechi de peste cinci ani a fost exploatat pentru aproximativ 250.000 de dolari.
Banteg, unul dintre devii pseudonimi de la Yearn și om respectat în comunitate, a publicat o analiză detaliată despre ce s-a întâmplat. Pe scurt, problema a pornit de la un adaptor configurat prost, o bucată de cod care face legătura între protocoale diferite. Greșeala asta a declanșat un fel de efect domino care a afectat mai multe protocoale conectate între ele.
Ce e trist la toată povestea asta e că vulnerabilitatea nu era nouă. Aceeași breșă fusese folosită într-un atac din 2023, când s-au pierdut 11 milioane de dolari. Deci avem un contract cu o problemă cunoscută, care a stat acolo doi ani cu bani în el, așteptând să fie jefuit din nou. E greu să nu te întrebi ce se întâmplă cu managementul codului vechi în industria asta.
Yearn a ținut să precizeze că incidentul afectează doar contractele iEarn, care sunt imuabile și n-au legătură cu produsele lor actuale. Tehnic vorbind, au dreptate. Dar pentru oamenii care și-au pierdut banii, distincția asta contează cam puțin.
Yearn are, de altfel, un CV destul de bogat la capitolul incidente. În 2021, un hack de 11 milioane. În 2023, pe lângă atacul asupra iEarn, echipa a mai pierdut și 1,4 milioane de dolari printr-o eroare internă, când cineva a configurat prost o tranzacție și slippage-ul a fost uriaș. Luna trecută, au anunțat că au acoperit din buzunar o altă problemă la unul dintre seifuri.
De ce cred unii că e vorba de AI?
Acum vine partea interesantă. Ce face seria asta de atacuri să ridice sprâncene nu e neapărat suma furată, care pentru crypto e relativ mică. E faptul că toate au vizat contracte vechi, toate s-au întâmplat într-un interval scurt de timp și toate au exploatat proiecte abandonate.
Storm0x, un cercetător de securitate care a lucrat și el la Yearn, a lansat public o teorie care prinde tracțiune în comunitate. El crede că cineva vizează în mod deliberat contractele legacy și că, posibil, folosește instrumente noi, poate chiar modele lingvistice mari, pentru a automatiza căutarea și exploatarea vulnerabilităților.
Sfatul lui pentru utilizatori e destul de direct: scoateți-vă banii din orice contract datat din 2021 sau mai vechi, mai ales dacă protocolul e declarat deprecated sau abandonat. Poate că termenii variază de la un proiect la altul, dar ideea e aceeași. Codul vechi și neîntreținut a devenit o țintă tot mai tentantă pentru atacatori.
Un alt observator din industrie a mers și mai departe cu analiza. El vede în boom-ul instrumentelor AI o amenințare care ar putea deveni foarte dureroasă pentru devii DeFi în următorii ani. Logica e simplă: n-a fost niciodată mai ușor să construiești, să testezi și să execuți strategii de exploatare. Bariera de intrare a coborât dramatic.
Și dacă te gândești bine, are sens. Înainte, ca să găsești vulnerabilități în contracte inteligente îți trebuiau cunoștințe tehnice serioase, răbdare și foarte multe ore de analiză manuală. Acum, cu modelele lingvistice disponibile, un atacator poate scana zeci sau sute de contracte mult mai repede, identificând tipare de vulnerabilități cunoscute și chiar variații ale acestora.
Ce a descoperit Anthropic despre hackurile autonome?
Dacă ideea unor hackeri ajutați de AI pare îngrijorătoare, așteaptă să auzi ce au găsit cercetătorii de la Anthropic. Compania din spatele modelului Claude a publicat recent un studiu în care a testat dacă agenții AI pot exploata singuri, fără intervenție umană, contracte inteligente.
Experimentul a fost destul de riguros. Au creat o bază de date cu 405 contracte care fuseseră exploatate între 2020 și 2025 și au lăsat modelele AI să încerce să le atace pe cont propriu. Rezultatele au fost, cum să zic, interesante și puțin înfricoșătoare în același timp.
Modelele AI au reușit să facă exploituri în valoare de 4,5 milioane de dolari pe contracte implementate după data la care fuseseră antrenate. Adică pe cod pe care nu-l văzuseră înainte.
Dar asta nu e tot. Când au fost testate pe aproape 3.000 de contracte noi, fără vulnerabilități cunoscute, modelele au descoperit două vulnerabilități zero-day. Adică breșe pe care nu le știa nimeni până atunci.
Implicațiile sunt destul de serioase. Nu mai vorbim doar despre oameni care folosesc AI ca pe un instrument auxiliar. Vorbim despre posibilitatea reală a unor atacuri complet automatizate, unde un agent AI scanează blockchain-ul, găsește contracte vulnerabile, construiește exploit-ul și execută atacul, totul fără ca vreun om să apese vreun buton.
De ce contractele vechi sunt atât de greu de reparat?
Ca să înțelegi de ce atacurile asupra codului vechi sunt o problemă atât de complicată, trebuie să știi un lucru fundamental despre blockchain: imuabilitatea. Odată ce un contract inteligent e pus pe Ethereum sau pe alte rețele similare, codul nu mai poate fi modificat. Punct.
Asta e o caracteristică, nu un bug. Imuabilitatea îți garantează că regulile unui protocol nu pot fi schimbate pe ascuns, că banii tăi vor fi gestionați exact așa cum scrie în cod. E motivul pentru care mulți au încredere în DeFi.
Problema apare când se descoperă o vulnerabilitate. Dacă codul e imuabil și are o breșă, singura soluție e să migrezi fondurile într-un contract nou, corectat. Și asta necesită acțiune din partea fiecărui utilizator în parte. Fiecare trebuie să-și retragă banii din contractul vechi și să-i depună în cel nou.
În practică, mulți nu fac asta. Unii și-au pierdut accesul la portofel. Alții au uitat că au bani acolo. Alții nici nu știu că există vreo problemă. Rezultatul e că milioane de dolari stau în contracte cu vulnerabilități cunoscute sau potențiale, așteptând efectiv să fie furate.
Pentru echipele de dezvoltare, dilema e una grea. Cât timp ești responsabil pentru securitatea unui cod pe care nu-l mai dezvolți? Ce obligații ai față de utilizatorii care ignoră avertismentele de migrare? Și ce se întâmplă când echipa se dizolvă complet, lăsând contractele orfane?
Cum arată viața și moartea unui proiect DeFi?
Atacurile astea recente ne dau ocazia să ne gândim la ciclul de viață al unui proiect DeFi și la cum acest ciclu generează vulnerabilități.
La început, când un protocol se lansează, atenția e maximă. Echipa e motivată, auditorii de securitate sunt angajați, comunitatea e vigilentă. Paradoxal, asta e perioada când codul e cel mai nou dar și cel mai bine verificat.
Pe măsură ce proiectul se maturizează, apar versiuni noi. Contractele vechi sunt declarate deprecated, dar rămân active pe blockchain. Utilizatorii sunt rugați să migreze, dar nu toți o fac. Echipa se concentrează pe ce e nou, iar atenția pentru codul vechi scade treptat.
În faza de declin, dezvoltatorii pleacă. Poate că proiectul nu mai e profitabil, poate că au găsit ceva mai interesant. Contractele rămân pe blockchain, cu fonduri în ele, dar fără nimeni care să le monitorizeze. Faza asta poate dura ani de zile, timp în care vulnerabilitățile se pot acumula pe măsură ce apar tehnici noi de atac.
Ce poți face ca să te protejezi?
Dacă ai bani în protocoale DeFi, sunt câteva lucruri pe care ar trebui să le faci. În primul rând, verifică-ți regulat toate pozițiile deschise. Multe portofele și aplicații de management îți arată toate contractele cu care ai interacționat vreodată. Folosește-le ca să identifici fonduri uitate în protocoale vechi.
În al doilea rând, fii atent la comunicările echipelor. Când un protocol anunță că o versiune e deprecated sau că trebuie să migrezi la contracte noi, nu amâna. Știu că e tentant să zici „mai târziu”, dar fiecare zi în care banii tăi stau într-un contract abandonat e o zi în care sunt potențial expuși.
Pentru dezvoltatori, lecțiile sunt la fel de importante. Planificarea ar trebui să includă strategii clare de deprecare și migrare. Comunicarea cu utilizatorii trebuie să fie insistentă și pe mai multe canale. Iar când decizi să abandonezi un proiect, ar trebui să faci eforturi reale să notifici lumea și să ajuți oamenii să-și retragă fondurile.
Unele proiecte au experimentat cu mecanisme de închidere automată, unde contractele sunt proiectate să returneze fondurile după o perioadă de inactivitate. Soluțiile astea au propriile lor probleme și complicații, dar e o direcție care merită explorată.
Încotro se îndreaptă securitatea DeFi?
Privind în față, industria DeFi se îndreaptă spre un fel de cursă a înarmărilor unde și atacatorii și apărătorii vor folosi AI din ce în ce mai sofisticat.
Pe partea de atac, ne putem aștepta la lovituri mai rapide, mai automatizate și mai greu de detectat. Modele AI antrenate pe baze de date cu vulnerabilități cunoscute vor putea identifica tipare similare în contracte noi mult mai repede decât orice auditor uman. Atacatorii vor putea lansa campanii care vizează zeci sau sute de protocoale simultan.
Pe partea de apărare, firmele de audit și echipele de securitate își vor dezvolta propriile sisteme AI pentru monitorizare continuă și detectarea activităților suspecte. Instrumentele de analiză vor deveni mai bune la găsirea vulnerabilităților subtile.
Dar cursa asta are o asimetrie de bază. Atacatorii trebuie să găsească o singură vulnerabilitate ca să reușească. Apărătorii trebuie să le blocheze pe toate. Într-un ecosistem cu mii de contracte active și nenumărate contracte moștenite, asimetria asta joacă în favoarea atacatorilor.
Cine e responsabil când nu mai e nimeni responsabil?
Atacurile astea ridică și întrebări mai largi despre responsabilitate. Când un protocol e cu adevărat descentralizat și echipa fondatoare se retrage, cine răspunde pentru securitatea fondurilor rămase în contracte?
Unii ar spune că responsabilitatea e în întregime a utilizatorilor. În filozofia crypto, fiecare e custodele propriilor active și trebuie să-și asume riscurile. Dacă lași bani într-un contract vechi și nemonitorizat, consecințele sunt ale tale.
Alții ar răspunde că poziția asta ignoră diferențele de informație și expertiză. Nu toți utilizatorii au cunoștințele tehnice să evalueze securitatea unui contract. Mulți s-au bazat pe reputația echipelor și pe promisiunile făcute la lansare. E corect să-i abandonăm când echipele pleacă?
Nu există răspunsuri ușoare la întrebările astea, iar industria va trebui să le abordeze pe măsură ce cazurile se înmulțesc.
Ce înseamnă toate astea pentru crypto?
Seria de atacuri din ultima săptămână e mai mult decât câteva incidente izolate. Ea semnalează o posibilă schimbare de paradigmă în modul în care vulnerabilitățile DeFi sunt găsite și exploatate. Dacă ipoteza hackerilor cu AI se confirmă, suntem la începutul unei ere în care viteza și amploarea atacurilor vor crește mult.
Pentru industria crypto per ansamblu, evoluția asta ar putea avea efecte mixte. Pe de o parte, ar putea accelera curățarea ecosistemului de contracte nesigure și ar forța adoptarea unor practici de securitate mai serioase. Pe de altă parte, ar putea descuraja utilizatorii obișnuiți, care vor vedea riscurile ca fiind prea mari.
Ce e sigur e că modelul actual, în care proiectele pot fi abandonate fără consecințe, nu mai e sustenabil. Industria va trebui să dezvolte norme și mecanisme pentru gestionarea responsabilă a ciclului de viață al protocoalelor.
Până atunci, mesajul pentru oricine deține fonduri în DeFi e simplu: verifică-ți pozițiile, evaluează riscurile și nu presupune că vechimea unui contract îl face sigur. În noua realitate a securității crypto, lucrurile stau fix pe dos.
