根据区块链分析公司 Chainaanalysis 的一份新报告,过去六个月中,未经验证的智能合约与四次去中心化金融 (DeFi) 漏洞造成了至少 3670 万美元的损失。调查结果表明,攻击者越来越多地将源代码未公开供审查的协议作为攻击目标。
最大的单一事件涉及 Truebit,攻击者利用了自 2021 年以来在以太坊区块链上未经验证的合约中的整数溢出漏洞,该公司遭受了 2620 万美元的损失。其他受影响的协议包括 Trusted Volumes、Aperture Finance 和 Ekubo。
在每种情况下,被利用的合约都没有在区块链浏览器上得到验证,这意味着它的源代码不公开。 Chainaanalysis 指出,安全研究人员的审查有限,并将这些合约排除在许多错误赏金计划之外,尽管这些合约控制着大量用户资金。
Chainaanalysis 将这一趋势部分归因于反编译工具和人工智能的进步,这使得攻击者即使无法访问源代码也能够对智能合约字节码进行逆向工程并识别漏洞。曾经需要“熟练的逆向工程师在单个合约上花费数天时间”的任务现在可以在大量未经验证的合约中部分自动化。
该报告挑战了 DeFi 领域长期以来的假设,即保持智能合约代码的私密性可以提供额外的安全层。 Chainaanalysis 表示,依赖隐藏代码的协议越来越依赖“隐匿性作为安全措施”,这种方法正在迅速失去效力。该公司建议将源代码验证、更广泛的错误赏金覆盖范围和实时监控工具作为基本保障措施。
这些事件发生在加密货币漏洞利用广泛增加的背景下。 DeFiLlama 的数据显示,仅 4 月份黑客就窃取了 6.297 亿美元,这是自 2025 年 2 月以来的最高月度总额。两个主要漏洞——KelpDAO(2.93 亿美元)和 Drift Protocol(2.8 亿美元)——占当月损失的 80% 以上。
根据 CertiK 的数据,尽管 5 月份损失降至 6830 万美元,但 4 月份重大攻击的影响仍在继续。 6 月,区块链情报平台 Arkham 报告称,KelpDAO 漏洞背后的攻击者几乎洗掉了大约 2.2 亿美元的未冻结被盗资金。
KelpDAO 漏洞促使多个 DeFi 协议审查其安全基础设施。包括 Solv Protocol 在内的项目宣布计划在内部安全审查后迁移到 Chainlink 的跨链基础设施。
在本月的相关进展中,人工智能公司 Anthropic 报告称,在一年内因违反政策而被禁止的 832 个帐户中,有 560 个使用人工智能来协助准备网络攻击,包括编写恶意软件和识别漏洞,这凸显了高级人工智能工具在网络安全领域的双重用途潜力。