在当前技术背景下,人工智能已能以极低成本自主识别并实施智能合约中的严重缺陷。据Anthropic研究团队测试,主流大语言模型平均每次分析曾遭利用的合约成本仅为1.22美元,且在2025年超过半数的漏洞利用本可由AI代理独立完成。
自四月初以来,全球多个DeFi平台接连遭受攻击,累计损失达6.05亿美元。事件包括Drift Protocol遭遇2.85亿美元复合型攻击(融合社会工程与恶意软件)、Silo Finance因预言机配置失误受损、Aethir暴露访问控制缺陷、Rhea Finance陷入虚假代币陷阱以及Volo Vault发生密钥泄露。其中最严重的当属基于LayerZero的KelpDAO reETH跨链桥被窃取2.9亿美元,引发超30个协议功能暂停。
即便拥有行业领先安全标准的Aave,也因关联风险产生高达2亿美元坏账。这一现象凸显了整个生态系统的脆弱性——其安全性不再取决于单一项目强度,而是依附于最薄弱环节的稳定性。
杰富瑞集团分析师Andrew Moss指出,此类事件可能影响传统金融机构对加密资产的接纳节奏。他警告称:“无论责任归属如何,信任流失将构成短期与长期双重风险。银行、资管公司及支付机构的代币化计划或因此暂时放缓。”
尽管目前未有确凿证据表明四月系列攻击直接源于AI识别漏洞,但多位专家认为存在高度关联。Bankless主持人Ryan Sean Adams直言:“我认为这是AI所为。它赋予黑客前所未有的黑暗能力,防御必须迎头赶上,我们已无时间可浪费。”
前NEAR贡献者Vadim指出,智能合约漏洞本就显而易见,过去因分析成本过高而难以被广泛利用。如今AI使漏洞探测成本下降百倍,而编写无错代码仍极为困难。“利用AI在分叉网络上测试漏洞,成功后被捕风险几乎为零。”
伦敦大学学院与悉尼大学联合研究显示,一种配备六种工具的专用AI代理系统,在真实世界23个漏洞合约测试中成功率高达63%,成功提取资金达933万美元。其核心结论令人警醒:攻击者只需投入6000美元即能获利,而防御方需耗费6万美元才能应对。
值得注意的是,KelpDAO事件并非典型智能合约攻击,而是其依赖的LayerZero去中心化验证器网络(DVN)存在单点故障。该结构实为1:1配置,既非真正去中心化,也非网络形态。量化安全公司创始人Richard Ma批评称:“这本质上是一个中央化的验证节点。”
TrueNorth开发人员Zengineer表示,攻击前12天已通过AI辅助扫描标记该跨链桥为“未解决风险”。虽工具未能识别1:1配置本身为隐患,但此案例证明AI可有效捕捉协议逻辑之外的安全缺口。
AI正深刻改变漏洞赏金机制。Cosmos Labs CEO Barry Plunkett透露,公司收到的报告量较去年增长900%,日均约2050份。Immunifi数据显示,61.4%的项目在首年内发现关键漏洞,五年内比例升至93.3%。最高一笔赏金达WormHole跨链桥1000万美元,若以1.22美元代币成本发现,回报率惊人。
Vadim主张,未来所有DeFi合约必须经过形式化验证,确保数学层面证明其行为完全符合设计预期。以太坊创始人Vitalik Buterin已提出“全面形式化验证以太坊”的目标,并借助AI生成代码证明,实现两年前无法达成的技术突破。
即使合约全部无漏洞,人为因素仍是主要攻击入口。如Drift攻击历时六个月进行社会工程铺垫,最终部署恶意软件。Ma强调:“当前环境下,审计过的智能合约远比平台周边操作更安全,尤其是涉及多签持有者与管理员的信息模糊区域。”
声明:文章不代表币圈网立场和观点,不构成本站任何投资建议。内容仅供参考!
免责声明:本站所有内容仅供用户学习和研究,不构成任何投资建议.不对任何信息而导致的任何损失负责.谨慎使用相关数据和内容,并自行承担所带来的一切风险.