未经验证的智能合约导致 DeFi 损失达 3670 万美元,Chainaanalysis 警告漏洞利用趋势不断上升
根据区块链分析公司 Chainaanalysis 的一份新报告,未经验证的智能合约与过去六个月中四次去中心化金融 (DeFi) 漏洞的至少 3670 万美元损失直接相关。研究结果突显了一种日益增长的趋势,即攻击者越来越多地针对源代码未公开供审计的协议。
最大的单一事件涉及 Truebit,该公司在攻击者利用整数溢出漏洞后遭受了 2620 万美元的损失。自 2021 年部署以来,被利用的合约在以太坊区块链浏览器上一直未经验证。
报告中引用的其他重大事件涉及 Trusted Volumes、Aperture Finance 和 Ekubo。在每种情况下,被利用的合约都没有在区块链浏览器上得到验证,这意味着其源代码无法供公众审查和安全审查。
“这种缺乏验证的情况减少了安全研究人员的审查,并且经常将这些合约排除在许多错误赏金计划之外,尽管这些合约控制着大量的用户资金,”Chainaanalysis 在其报告中指出。
高级工具在利用隐藏代码中的作用
Chainaanalysis 将对未经验证的合约的日益关注部分归因于反编译工具和人工智能的重大进步。这些技术现在使攻击者能够对智能合约字节码进行逆向工程并识别漏洞,即使原始源代码是隐藏的。
报告指出,“曾经需要熟练的逆向工程师在单个合约上花费数天时间才能完成的任务,现在可以在大量未经验证的合约中部分自动化”,从而降低了复杂攻击的进入门槛。
挑战通过模糊实现安全的假设
该报告直接挑战了 DeFi 领域的一个常见假设,即保持代码私密性可以增加一层安全性。 Chainaanalysis 认为,协议越来越依赖模糊性作为主要安全措施,这种方法正在迅速失去对现代工具的有效性。
作为关键保障措施,该公司建议项目在区块链浏览器上持续验证其源代码,扩大错误赏金计划的覆盖范围以包括所有具有价值的合约,并部署实时监控和警报工具。
加密货币利用活动增加的更广泛背景
这些发现是在加密货币利用活动持续升高的背景下得出的。 DeFiLlama 的数据显示,仅 4 月份黑客就窃取了 6.297 亿美元,这是自 2025 年 2 月以来记录的最高月度总额。当月主要有两大漏洞:KelpDAO 损失 2.93 亿美元,Drift Protocol 遭受漏洞 2.8 亿美元,合计占当月被盗资金的 80% 以上。
根据 CertiK 的数据,虽然 5 月份的损失降至 6830 万美元,但 4 月份的大型攻击事件的影响仍在继续。 6 月,区块链情报平台 Arkham 报告称,KelpDAO 漏洞背后的攻击者已成功洗掉了几乎全部约 2.2 亿美元的未冻结被盗资金。
KelpDAO 事件引发了整个 DeFi 生态系统的广泛安全审查。例如,Solv Protocol 宣布计划在内部安全审查后迁移到 Chainlink 的跨链基础设施。
人工智能在网络攻击准备中的作用
在本月的相关进展中,人工智能公司 Anthropic 透露,在一年内因违反政策而被禁止的 832 个账户中,有 560 个账户利用人工智能协助准备网络攻击。被禁止的活动包括使用人工智能编写恶意软件和识别软件漏洞,强调了提升人工智能能力在网络安全领域的双重用途。