- Les hackers crypto utilisent des LLM pour scanner d’anciens contrats EVM à la recherche de défauts dans les approbations longtemps actives.
- Le défaut de contrat Noda permet à toute adresse de frais de signature de déclencher des transactions non autorisées.
- Examinez et révoquez les permissions de jetons inutilisées pour réduire les risques de sécurité DeFi.
Les hackers crypto utilisent de grands modèles de langage (LLM) pour cibler les anciens contrats intelligents EVM à la recherche de bugs non protégés. Cette activité attire l’attention sur des contrats déployés il y a des années qui détiennent encore des approbations actives de jetons par les utilisateurs. Dans de nombreux cas, ces approbations n’ont jamais été révoquées après l’interaction DeFi originale.
Un cas récent concernait un contrat Ethereum vieux de six ans appelé Noda. Le contrat autorise une adresse de frais pour exécuter des transactions privilégiées si une signature valide de cette adresse est fournie. Le défaut était simple. Le code acceptait toute signature valide au lieu de vérifier si elle était liée à une action spécifique. Un attaquant pourrait déclencher des transactions non autorisées en réutilisant une transaction du bénéficiaire des frais, puisque chaque transaction Ethereum contient une signature valide.
Les contrats intelligents EVM hérités restent exposés
Le problème ne se limite pas à un seul contrat. Un code DeFi plus ancien peut toujours présenter un risque si les utilisateurs laissent les approbations de jetons en place. Une fois qu’un portefeuille accorde son approbation à un contrat, cette autorisation reste souvent active jusqu’à ce que l’utilisateur la supprime. Beaucoup d’utilisateurs ont approuvé des contrats il y a des années et n’y sont jamais revenus pour les examiner.
Cela ouvre une ouverture pour les hackers crypto. Si une vulnérabilité est ensuite détectée dans l’un de ces contrats, l’attaquant peut être en mesure de déplacer des jetons en utilisant l’ancienne approbation. Aucune nouvelle signature n’est requise du propriétaire du portefeuille. Dans certains cas, le transfert peut se faire sans aucun avertissement pour l’utilisateur.
L’IA réduit les coûts de scan des contrats, découvre des bugs connus
L’essor des LLM a rendu la revue des contrats intelligents à grande échelle plus rapide et moins coûteuse. Anthropic, une entreprise spécialisée dans la sécurité et la recherche en IA, a récemment testé des modèles avancés sur des ensembles de données de contrats vulnérables provenant d’Ethereum et d’autres chaînes compatibles EVM. Dans des environnements simulés, les modèles pouvaient identifier des faiblesses connues et générer du code d’exploitation basé sur des schémas d’attaque antérieurs.
Anthropic a rapporté que scanner un smart contract pour détecter des vulnérabilités coûte désormais en moyenne environ 1,22 $. Lors des tests, les modèles ont réussi à détecter des problèmes dans environ 50 % des contrats vulnérables connus auparavant. Cependant, appliqués à des contrats non modifiés sans vulnérabilités connues, les modèles n’ont détecté que deux problèmes sur des milliers d’échantillons, montrant que si l’IA est efficace sur des schémas familiers, elle est moins fiable pour des contrats entièrement nouveaux ou inédits.
Les anciennes approbations DeFi font l’objet d’un nouveau scrutin
La vague actuelle d’inquiétude porte sur les approbations des utilisateurs qui restent actives bien après leur nécessité. Ces autorisations étaient souvent accordées pour des activités DeFi, y compris les swaps et les stakings. Beaucoup d’entre eux n’ont pas de date d’expiration. Cela expose les détenteurs de portefeuilles si le contrat approuvé est ensuite reconnu comme un défaut.
Les chercheurs en sécurité exhortent les utilisateurs à examiner et supprimer les autorisations qu’ils n’utilisent plus. Les portefeuilles matériels protègent toujours les clés privées, mais ils ne bloquent pas un contrat qui a déjà l’autorisation de déplacer des jetons. À mesure que les LLM facilitent la numérisation des contrats, les anciennes approbations deviennent une préoccupation croissante sur Ethereum.
À lire aussi : Les attaques d’empoisonnement contre les adresses ont augmenté sur Ethereum après la mise à niveau de Fusaka
Disclaimer: The information presented in this article is for informational and educational purposes only. The article does not constitute financial advice or advice of any kind. Coin Edition is not responsible for any losses incurred as a result of the utilization of content, products, or services mentioned. Readers are advised to exercise caution before taking any action related to the company.
