PANews informou em 10 de junho que, de acordo com um relatório da Chainalysis, pelo menos 36,7 milhões de dólares foram roubados nos últimos seis meses de protocolos cujo código-fonte não foi verificado publicamente, incluindo Truebit, Trusted Volumes, Aperture Finance e Ekubo. Os atacantes procuram vulnerabilidades descompilando o bytecode bruto. O desenvolvimento de explorações assistido por IA está a acelerar esta tendência, com modelos de linguagem grandes a permitir a identificação escalável de padrões de vulnerabilidade.
A Chainalysis salienta que os contratos não verificados carecem de escrutínio da comunidade e são frequentemente excluídos de programas de recompensa por bugs. A barreira de entrada para descompilação por IA e análise de vulnerabilidades está a diminuir rapidamente, permitindo que os atacantes analisem sistematicamente milhares de contratos não verificados. Os protocolos devem verificar todo o código do contrato, auditar os contratos realmente implementados, expandir a cobertura de recompensas por bugs e implementar monitorização em tempo real na cadeia. Cada contrato não verificado é um alvo potencial para digitalização automatizada, e a ofuscação por si só já não é uma medida de segurança eficaz.