Des smart contracts non vérifiés ont été liés à au moins 36,7 millions de dollars de pertes à travers quatre exploits DeFi au cours des six derniers mois, alors que les attaquants ciblent de plus en plus des protocoles dont le code source n'est pas disponible publiquement, a rapporté Chainalysis. Selon Cointelegraph, le plus gros incident a impliqué Truebit, qui a perdu 26,2 millions de dollars après qu'un attaquant ait exploité une vulnérabilité de dépassement d'entier dans un contrat qui était resté non vérifié sur Ethereum depuis 2021. Chainalysis a déclaré que les autres incidents concernaient Trusted Volumes, Aperture Finance et Ekubo, et que dans chaque cas, le contrat exploité n'avait pas été vérifié sur un explorateur de blockchain, rendant son code source indisponible pour une révision publique. La société a déclaré que cela réduisait l'examen par les chercheurs en sécurité et excluait les contrats de nombreux programmes de récompenses pour bugs malgré le contrôle des fonds utilisateurs par ces contrats.

Chainalysis a attribué l'accent croissant sur les contrats non vérifiés en partie aux avancées dans les outils de décompilation et à l'intelligence artificielle, qui peuvent aider les attaquants à rétroconcevoir le bytecode des contrats intelligents et à identifier les vulnérabilités même lorsque le code source est caché. Le rapport a déclaré que des tâches qui nécessitaient autrefois un ingénieur en rétro-ingénierie qualifié passant des jours sur un seul contrat peuvent désormais être en partie automatisées à travers un grand nombre de contrats non vérifiés. Chainalysis a également remis en question l'hypothèse DeFi selon laquelle garder le code privé ajoute de la sécurité, arguant que les protocoles comptent de plus en plus sur l'obscurité comme mesure de sécurité et que cette approche perd de son efficacité. En tant que mesures de protection, la société a recommandé de vérifier le code source, d'élargir la couverture des bug bounty et de déployer des outils de surveillance en temps réel.

Les découvertes interviennent alors que l'activité d'exploitation crypto reste élevée. Selon DeFiLlama, les hackers ont volé 629,7 millions de dollars rien qu'en avril, le total mensuel le plus élevé depuis février 2025, avec KelpDAO perdant 293 millions de dollars et Drift Protocol subissant une exploitation de 280 millions de dollars, représentant ensemble plus de 80 % des fonds volés ce mois-ci. Les pertes ont diminué en mai, CertiK rapportant 68,3 millions de dollars volés lors d'exploitations de cryptomonnaies, mais les répercussions d'avril ont continué. En juin, la plateforme d'intelligence blockchain Arkham a rapporté que l'attaquant derrière l'exploitation de KelpDAO avait blanchi presque tous les 220 millions de dollars de fonds volés non gelés. L'incident KelpDAO a également poussé plusieurs protocoles DeFi à revoir leur infrastructure de sécurité, y compris Solv Protocol, qui a annoncé des plans pour migrer vers l'infrastructure crosschain de Chainlink à la suite d'examens de sécurité internes. Par ailleurs, ce mois-ci, Anthropic a déclaré que 560 des 832 comptes qu'il avait bannis pour violations de politique au cours d'une période d'un an avaient utilisé l'IA pour aider à préparer des cyberattaques, y compris la rédaction de logiciels malveillants et l'identification de vulnérabilités.