区块链分析机构Chainalysis发布最新研究指出,去中心化金融(DeFi)协议在过去半年中,因针对未公开源代码的智能合约发起的网络攻击,总计造成至少3670万美元资金流失。报告强调,攻击者正越来越多地聚焦于那些缺乏公开代码审查的项目,并利用长期存在的漏洞实施精准打击。
最严重的单一攻击事件发生在Truebit协议,该系统负责验证以太坊上的计算任务。攻击者利用一个自2021年起存在于主网但未经过正式验证的智能合约中的已知缺陷,成功盗取2620万美元资产。此事件单独贡献了六个月内总损失的逾70%,成为当前最突出的安全危机案例。其他受波及的平台如Trusted Volumes、Aperture Finance和Ekubo,其具体受损金额尚不明确。
Chainalysis观察到,近年来反编译工具与人工智能算法的进步,极大提升了恶意行为者对智能合约进行自动化漏洞探测的能力。原本需依赖资深安全专家数日人工分析的合约,如今可通过AI辅助系统在短时间内完成大规模扫描与攻击路径生成。这一趋势大幅降低了攻击的技术门槛,推动了对审计缺失或未验证代码的针对性攻击频次上升。
尽管部分项目将未公开源代码视为一种“隐蔽式”安全策略,但数据显示,这种做法恰恰适得其反。由于缺乏可读性,这类合约难以被社区或第三方审计机构审查,导致黑客通过反编译技术逆向解析字节码,快速定位潜在漏洞并发动攻击。报告明确指出,代码开源已从理想状态转变为保障生态安全的基本前提。
在当前全球监管趋严的背景下,此次事件为整个DeFi生态敲响警钟。对于终端用户而言,必须优先选择具备公开、可验证源码且经独立审计的协议;对开发者而言,则需在部署前执行全面的安全评估与代码验证流程。同时,随着攻击方采用先进工具,防御体系也亟需引入同等级别的智能检测机制,实现攻防能力的动态平衡。
Chainalysis的分析揭示出一个严峻现实:由人工智能支持的新型攻击正集中围猎未经验证的智能合约。仅六个月便造成超过3670万美元损失,而其中近七成源于单一事件,表明风险高度集中。这清晰传递出一个信号——代码透明、严格审计与主动防护已不再是可选措施,而是维系去中心化金融平台可信度与持续运营的核心要素。
指在Etherscan等链上浏览器中未上传对应源代码的智能合约。此类合约无法被公众直接审查,增加了隐藏漏洞的可能性。
攻击者借助基于人工智能的反编译工具,对合约的二进制字节码进行自动逆向还原,识别逻辑缺陷,并实现批量化的攻击脚本生成与执行。
建议仅与拥有公开可查源码、并通过第三方审计机构验证的协议交互,并定期查阅其最新的审计报告及社区反馈信息,避免参与高风险项目。
声明:文章不代表币圈网立场和观点,不构成本站任何投资建议。内容仅供参考!
免责声明:本站所有内容仅供用户学习和研究,不构成任何投资建议.不对任何信息而导致的任何损失负责.谨慎使用相关数据和内容,并自行承担所带来的一切风险.