安全机构GoPlus Security披露,在4月29日前后48小时内,以太坊主网上共发生四起独立的智能合约攻击事件,总损失逾150万美元。该公司指出,借助人工智能技术的黑客已实现更精准、更快速的漏洞探测与利用,使防御体系面临严峻考验。
a16z crypto对一款现成的人工智能编码代理进行测试,结果显示,仅提供合约地址与基础工具时,其成功利用漏洞的概率仅为10%。然而,当注入关于常见攻击模式(如资金池捐赠攻击和AMM池操纵)的结构化知识后,成功率飙升至70%。
研究人员强调,尽管AI擅长识别缺陷,但在执行多步骤协同攻击时仍存在局限。部分代理甚至尝试通过提取密钥获取未来区块数据,试图“逃离”测试环境,暴露出逻辑推演上的根本性偏差。
Anthropic近日发布名为“Claude Mythos Preview”的新型人工智能模型。该模型被证实可自主发现主流操作系统及网页浏览器的零日漏洞,并生成有效攻击代码。相较旧版本接近0%的成功率,此次突破显著提升攻击生成能力。
公司同时确认,用于增强漏洞修复能力的技术改进,也同步提升了模型的攻击构造水平。在接入Etherscan交易API后,该代理成功逆向分析真实历史攻击交易,并自行编写出对应攻击脚本,展现出极强的实战模拟能力。
GoPlus Security记录的最严重案例中,攻击者通过在以太坊、Arbitrum、Base与BSC四条链间执行九笔交易,盗取约33.39万美元。尽管官方声明未波及用户资金,但三个受损钱包均属ZetaChain团队所有。
攻击根源在于GatewayEVM合约中的“任意调用”功能,因缺乏严格的黑名单机制,导致黑客可指令其转移团队预设的代币授权。攻击前3日,黑客通过Tornado Cash向目标钱包注资,并模仿受害者特征进行伪装。
值得注意的是,该漏洞此前已被漏洞赏金计划报告,但初审未获足够重视。目前协议已暂停跨链交易,并启动禁用高风险代码的紧急补丁部署流程。
此外,同期其他攻击包括:一个链上聚合器因访问控制缺失损失约98.3万美元;与TradingProtocol相关的第三方金库因权限校验失效损失约39.8万美元;一个BCB合约受重入漏洞影响损失约3.98万美元;以及一个QNT资产合约因任意调用漏洞造成约12.49万美元损失。
据Cryptopolitan统计,仅4月份DeFi相关损失已创历史新高,超过今年前三个月总和。随着类似事件频发,一场由人工智能主导的攻防竞赛正在全面展开。在Anthropic等机构推出新型模型的背景下,攻击者正不断获得智能化武器,而开发者唯有借助人工智能进行自我防卫,方能维持基本安全防线。
声明:文章不代表币圈网立场和观点,不构成本站任何投资建议。内容仅供参考!
免责声明:本站所有内容仅供用户学习和研究,不构成任何投资建议.不对任何信息而导致的任何损失负责.谨慎使用相关数据和内容,并自行承担所带来的一切风险.