Contratos DeFi no verificados están vinculados a pérdidas de 36,7 millones de dólares, según Chainalysis

Los contratos inteligentes no verificados se vincularon a al menos 36,7 millones de dólares en pérdidas a través de cuatro exploits de DeFi en los últimos seis meses, ya que los atacantes apuntan cada vez más a protocolos cuyo código fuente no está disponible públicamente, según Chainalysis.

El incidente más grande involucró a Truebit, que perdió 26,2 millones de dólares después de que un atacante explotara una vulnerabilidad de desbordamiento de enteros en un contrato que había permanecido no verificado en Ethereum desde 2021. Los otros incidentes involucraron a Trusted Volumes, Aperture Finance y Ekubo, según el informe.

En cada caso, el contrato explotado no había sido verificado en un explorador de blockchain, lo que significa que su código fuente no estaba disponible públicamente para revisión. Según Chainalysis, esto limitó el escrutinio de los investigadores de seguridad y excluyó a los contratos de muchos programas de recompensa por errores, a pesar de controlar fondos de usuarios.

Cinco protocolos vieron exploits en contratos inteligentes no verificados. Fuente: Chainalysis

Chainalysis atribuyó la tendencia en parte a los avances en herramientas de descomposición y inteligencia artificial, que pueden ayudar a los atacantes a ingeniar código de contrato inteligente y identificar vulnerabilidades incluso cuando el código fuente no está disponible públicamente. Según el informe, lo que una vez requirió 'un ingeniero inverso capacitado que pasara días en un solo contrato' ahora puede automatizarse parcialmente en grandes cantidades de contratos no verificados.

El informe desafía una suposición arraigada en DeFi de que mantener el código de contrato inteligente privado proporciona una capa adicional de seguridad. Según Chainalysis, los protocolos que dependen de código oculto dependen cada vez más de 'la oscuridad como medida de seguridad', un enfoque que la empresa dijo que está perdiendo efectividad rápidamente.

Chainalysis recomendó la verificación de código fuente, una cobertura más amplia de recompensa por errores y herramientas de monitoreo en tiempo real como salvaguardias contra futuros exploits.

Las preocupaciones sobre la seguridad de DeFi persisten después de las pérdidas récord de abril

El informe llega en medio de un aumento más amplio en los exploits de criptomonedas. Según DeFiLlama, los hackers robaron 629,7 millones de dólares solo en abril, el total mensual más alto desde febrero de 2025.

Dos incidentes contabilizaron la mayor parte de las pérdidas. KelpDAO perdió 293 millones de dólares y Drift Protocol sufrió un exploit de 280 millones de dólares, lo que representa más del 80% de los fondos robados del mes.

Aunque las pérdidas cayeron bruscamente en mayo, con CertiK informando 68,3 millones de dólares robados de exploits de criptomonedas, la caída de los mayores ataques de abril continuó. En junio, la plataforma de inteligencia blockchain Arkham informó que el atacante detrás del exploit de KelpDAO había lavado casi todos los aproximadamente 220 millones de dólares en fondos robados no congelados.

Cartera etiquetada de Kelp DAO Hacker, saldo total. Fuente: Arkham

El exploit de KelpDAO también provocó que varios protocolos DeFi revisaran su infraestructura de seguridad, con proyectos como Solv Protocol anunciando planes para migrar a la infraestructura entre cadenas de Chainlink después de revisiones de seguridad internas.

Este mes, Anthropic dijo que 560 de las 832 cuentas que bloqueó por violaciones de políticas durante un período de un año habían utilizado inteligencia artificial para ayudar a preparar ataques cibernéticos, incluyendo la escritura de malware y la identificación de vulnerabilidades.