據 Chainalysis 稱,在過去六個月裡,未驗證智能合約與四起 DeFi 攻擊中的至少3670萬美元損失有關,隨著攻擊者越來越多地瞄準原始碼未公開的協議,這一趨勢愈發明顯。
報告顯示,最大的一起事件涉及 Truebit。該項目在一名攻擊者利用合約中的整數溢位漏洞後損失了2620萬美元,該合約自2021年以來一直未在以太坊上完成驗證。報告稱,其他事件涉及 Trusted Volumes、Aperture Finance 和 Ekubo。
在每起案例中,被利用的合約都未在區塊鏈瀏覽器上完成驗證,這意味著其原始碼無法公開供審查。Chainalysis 表示,這限制了安全研究人員的審查,也使這些合約儘管掌控著用戶資金,卻被排除在許多漏洞賞金計畫之外。
五個協議的未驗證智能合約遭到攻擊。來源: Chainalysis
Chainalysis 將這一趨勢部分歸因於反編譯工具和人工智慧的進步,這些技術可幫助攻擊者逆向工程智能合約位元組碼,即便原始碼未公開,也能識別漏洞。報告稱,過去需要“熟練的逆向工程師花上數天研究單個合約”的工作,如今可以在大量未驗證合約上部分自動化完成。
該報告挑戰了 DeFi 領域長期以來的一項假設,即將智能合約程式碼保密可提供額外一層安全保障。Chainalysis 表示,依賴隱藏程式碼的協議正越來越依靠“以模糊性作為安全措施”,而該公司認為這種做法的有效性正在迅速下降。
Chainalysis 建議透過原始碼驗證、更廣泛的漏洞賞金覆蓋以及即時監控工具,來防範未來的攻擊。
4月創紀錄損失後,DeFi 安全擔憂持續存在
這份報告發布之際,加密攻擊事件整體正在上升。根據 DeFiLlama 的數據,駭客僅在4月就竊取了6.297億美元,創下自2025年2月以來的單月最高紀錄。
其中兩起事件占據了大部分損失。KelpDAO 損失了2.93億美元,Drift Protocol 遭遇了2.8億美元的攻擊,兩者合計占當月被盜資金的80%以上。
儘管5月損失大幅下降,CertiK 報告稱當月加密貨幣攻擊造成的被盜金額為6830萬美元,但4月最大攻擊事件的餘波仍在持續。6月,區塊鏈情報平台 Arkham 報告稱,KelpDAO 攻擊背後的攻擊者已將約2.2億美元未凍結被盜資金幾乎全部洗白。
Kelp DAO 標記為駭客的錢包,總餘額。來源:Arkham
KelpDAO 攻擊還促使多個 DeFi 協議重新審視其安全基礎設施,包括 Solv Protocol 在內的項目在內部安全審查後宣布計畫遷移至 Chainlink 的跨鏈基礎設施。
本月,Anthropic 表示,在其因違反政策而封禁的832個帳戶中,有560個在一年內使用了人工智慧協助準備網路攻擊,包括編寫惡意軟體和識別漏洞。
相關推薦:Merck與Hashgraph Group推出基於Hedera的產品護照以符合歐盟合規要求


