据 Chainalysis 称,在过去六个月里,未验证智能合约与四起 DeFi 攻击中的至少3670万美元损失有关,随着攻击者越来越多地瞄准源代码未公开的协议,这一趋势愈发明显。
报告显示,最大的一起事件涉及 Truebit。该项目在一名攻击者利用合约中的整数溢出漏洞后损失了2620万美元,该合约自2021年以来一直未在以太坊上完成验证。报告称,其他事件涉及 Trusted Volumes、Aperture Finance 和 Ekubo。
在每起案例中,被利用的合约都未在区块链浏览器上完成验证,这意味着其源代码无法公开供审查。Chainalysis 表示,这限制了安全研究人员的审查,也使这些合约尽管掌控着用户资金,却被排除在许多漏洞赏金计划之外。
五个协议的未验证智能合约遭到攻击。来源: Chainalysis
Chainalysis 将这一趋势部分归因于反编译工具和人工智能的进步,这些技术可帮助攻击者逆向工程智能合约字节码,即便源代码未公开,也能识别漏洞。报告称,过去需要“熟练的逆向工程师花上数天研究单个合约”的工作,如今可以在大量未验证合约上部分自动化完成。
该报告挑战了 DeFi 领域长期以来的一项假设,即将智能合约代码保密可提供额外一层安全保障。Chainalysis 表示,依赖隐藏代码的协议正越来越依靠“以模糊性作为安全措施”,而该公司认为这种做法的有效性正在迅速下降。
Chainalysis 建议通过源代码验证、更广泛的漏洞赏金覆盖以及实时监控工具,来防范未来的攻击。
4月创纪录损失后,DeFi 安全担忧持续存在
这份报告发布之际,加密攻击事件整体正在上升。根据 DeFiLlama 的数据,黑客仅在4月就窃取了6.297亿美元,创下自2025年2月以来的单月最高纪录。
其中两起事件占据了大部分损失。KelpDAO 损失了2.93亿美元,Drift Protocol 遭遇了2.8亿美元的攻击,两者合计占当月被盗资金的80%以上。
尽管5月损失大幅下降,CertiK 报告称当月加密货币攻击造成的被盗金额为6830万美元,但4月最大攻击事件的余波仍在持续。6月,区块链情报平台 Arkham 报告称,KelpDAO 攻击背后的攻击者已将约2.2亿美元未冻结被盗资金几乎全部洗白。
Kelp DAO 标记为黑客的钱包,总余额。来源:Arkham
KelpDAO 攻击还促使多个 DeFi 协议重新审视其安全基础设施,包括 Solv Protocol 在内的项目在内部安全审查后宣布计划迁移至 Chainlink 的跨链基础设施。
本月,Anthropic 表示,在其因违反政策而封禁的832个账户中,有560个在一年内使用了人工智能协助准备网络攻击,包括编写恶意软件和识别漏洞。
