Chainalysis 最新报告显示,过去 6 个月内,攻击者通过利用未公开验证的智能合约,已从多个协议中盗取至少 3 670 万美元资金。该公司指出,此类攻击激增与 AI 辅助漏洞开发密切相关。
如今,大型语言模型(LLMs)能够以远超人工团队的速度和规模,分析反编译后的字节码。因此,曾经以闭源方式“隐藏”代码以防御攻击的智能合约,如今已成为系统化攻击的集中目标。
隐藏代码为何已无法保护 DeFi 协议?
目前,主流去中心化金融(DeFi)协议通常会在区块链浏览器上公开并验证其源代码。不过,仍有部分项目选择保持代码闭源,寄希望于“安全通过隐藏”。
然而,Chainalysis 的研究显示,这一做法正逐渐失效。Dedaub、Heimdall 和 Panoramix 等智能合约反编译工具,现已能够将字节码转为可读的 Solidity 代码。
这些反编译后的代码可直接输入至 LLM 模型,自动筛查重入攻击、访问控制缺陷与算术运算错误等常见漏洞。
依托自动化流程,这些 AI 模型可大规模扫描数千个尚未验证的智能合约,并根据漏洞可利用性和潜在收益进行目标优先级排序。
Chainalysis 指出:“过去需要经验丰富的逆向工程师耗时数日分析一个合约,如今通过自动化流程,能够一次性覆盖整条链上所有未验证合约。采用此类 AI 工具的攻击者,将在范围与效率上明显优于仅靠人工监控的防御方。”
Anthropic 亦曾披露,AI 技术如今可大幅降低发起复杂攻击的门槛,极大助力低技术门槛的黑客执行高阶攻击,加剧整体安全威胁。
与此同时,未验证的智能合约还逃避了开源社区的“非正式安全保护层”。白帽安全研究员难以阅读这些闭源代码,部分被攻击协议也未将相关合约纳入漏洞赏金计划,使得安全防线进一步弱化。
Truebit 攻击案例揭示系统化漏洞狩猎
今年 1 月 8 日,Truebit 协议遭遇最大一次安全事件,攻击者从平台中盗取了 2,620 万美元资产。值得关注的是,这个存在漏洞的合约自 2021 年在以太坊($ETH)上线以来一直未经过验证。
由于其绑定曲线存在整数溢出漏洞,攻击者几乎可以零成本铸造代币,并将其销毁以换取真实的 $ETH。而且,该攻击地址在 12 天前还曾利用同样的手法,攻击 Sparkle 协议并盗走 5 枚 $ETH。
“这绝非偶然发现。攻击者系统性地针对已验证和未验证合约持续搜寻漏洞,从小额试探逐步升级,最终一举盗走 2,600 万美元。两次作案所得均已通过 Tornado Cash 洗钱。”报告补充道。
与此同时,Anthropic 研究表明,AI 智能体已经能够自主发起攻击,窃取价值数百万美元的智能合约资产。这种攻击甚至涉及知识截止日期之后部署的合约。安全专家也警告,AI 智能体正逐步超越人类审计员,对 DeFi 生态带来更大安全隐患。
Chainalysis 预计,随着反编译工具的不断进步和未验证合约数量的持续增加,此类攻击趋势将加速蔓延。该公司呼吁各协议及时验证所有已部署代码,扩大漏洞赏金范围,并引入链上实时监控机制。
订阅我们的 YouTube 频道,收看行业领袖和专业记者带来的深度解读
