攻击者在6个月内从未验证的DeFi合约中窃取了3670万美元

根据Chainalysis 6月9日的报告，未验证的智能合约正成为攻击者青睐的目标，在过去六个月内，通过四起特定的攻击共计被窃取了3670万美元。这些事件突显了拥有闭源代码的协议如何变得越来越脆弱，特别是当攻击者利用AI工具来简化漏洞发现的过程时。

受影响的协议包括Truebit、Trusted Volumes、Aperture Finance和Ekubo，这些协议均在以太坊上部署了合约，但未在Etherscan等公共区块浏览器上验证其源代码。最大的一次攻击发生在2026年1月8日，当时Truebit因其绑定曲线机制中的整数溢出漏洞损失了2620万美元。总体而言，Chainalysis发现，从2025年12月至2026年6月，这些未验证的合约共计损失了3670万美元。

AI如何改变游戏规则

攻击者越来越多地使用由AI驱动的工具来反编译以太坊虚拟机（EVM）字节码，并大规模识别漏洞。像Dedaub和Heimdall这样的反编译工具，与大型语言模型（LLMs）结合使用，使攻击者能够分析字节码中的漏洞，例如重入漏洞、访问控制问题和算术错误。这减少了发现可利用弱点所需的时间和技能，推动了对未验证合约的系统化、流水线式扫描。

虽然闭源合约可能看起来对攻击者不那么容易接触，但它们也放弃了社区审查、竞争审计和漏洞赏金计划带来的非正式安全优势。Chainalysis指出，未验证的合约通常不在漏洞赏金计划的范围内，这使它们更加暴露于风险之中。

案例研究：Truebit漏洞

Truebit的漏洞说明了未验证合约的风险。该协议的绑定曲线机制允许攻击者利用一个未保护的加法操作，以接近零的成本铸造大量TRU代币。由于合约是用缺乏自动溢出检查的过时Solidity版本（v0.5.3）编译的，这一漏洞一直存在。

链上分析表明，攻击者在升级到更大规模的攻击之前，有条不紊地测试了合约的漏洞。同一钱包在12天前就曾利用Sparkle协议中的一个较小漏洞。两次攻击的收益均通过Tornado Cash进行清洗，突显了这些活动的组织性。

更广泛的背景：2026年的加密攻击

从未验证合约中窃取的3670万美元是加密攻击不断升级的更广趋势的一部分。仅在2026年5月，CertiK就报告了总计6830万美元的加密攻击损失，而2026年的累计损失现已超过11亿美元。尽管未验证合约在这些总额中占比较小，但由于缺乏透明性和社区监督，它们仍然特别脆弱。

回顾过去，Firepan的2025年报告显示，Web3攻击造成了33亿美元的损失，其中有9.054亿美元专门归因于智能合约漏洞。随着能够自动化漏洞发现的AI工具的兴起，这些损失可能会随着攻击者改进方法而加速。

协议可以采取的措施

Chainalysis建议采取以下几项措施来减轻与未验证合约相关的风险：

• 验证源代码：在像Etherscan这样的区块浏览器上发布经过验证的合约代码，应该成为任何管理用户资金的合约的标准实践。
• 扩大漏洞赏金范围：所有合约，包括遗留合约或辅助实现，均应符合漏洞赏金计划的要求。
• 实施实时监控：像Chainalysis Hexagate这样的工具可以实时识别可疑活动，为未验证合约提供关键的安全防护。

结论

随着AI反编译和漏洞分析的进步，未验证的智能合约正变得越来越难以防御。对于DeFi协议而言，透明性已不再是可选项——而是生存的基本要求。随着攻击者继续利用闭源不透明性与尖端自动化之间的差距，优先考虑开放、可审计的代码的压力从未如此巨大。