Chainalysis发现了一个针对未经验证的DeFi合约的攻击模式,自一月以来,黑客在四次漏洞利用中共窃取了3670万美元。
据Chainalysis称,过去六个月内,未验证的智能合约在四个DeFi漏洞利用中至少造成了3670万美元的损失,因为攻击者越来越多地针对源代码未公开的协议。
最大的一起事件涉及Truebit,该厂因一名攻击者利用自2021年以来以太坊上未验证的合约中的整数溢出漏洞而损失2620万美元。报告称,其他事件涉及Trusted Volumes、Aperture Finance和Ekubo。
在每个案例中,被利用的合约都未经过区块链浏览器验证,意味着其源代码未公开供审查。据Chainalysis称,这限制了安全研究人员的审查,并排除了许多漏洞赏金项目中的合同,尽管他们控制了用户资金。
Chainalysis将这一趋势部分归因于反编译工具和人工智能的进步,这些技术可以帮助攻击者逆向工程智能合约字节码,并在源代码未公开时发现漏洞。报告称,过去需要“熟练的逆向工程者花费数天完成单一合同”,如今可以在大量未经验证的合同中实现部分自动化。
报告挑战了DeFi中长期以来的假设,即保持智能合约代码私密能提供额外的安全层。据Chainalysis称,依赖隐藏代码的协议越来越依赖“隐蔽性作为安全措施”,该公司表示这种方法正迅速失效。
Chainalysis建议提供源代码验证、更广泛的漏洞赏金覆盖以及实时监控工具,以防范未来的漏洞利用。
在创纪录的4月跌幅后,DeFi安全疑虑依然存在
该报告发布之际,加密货币利用事件正日益增加。据DeFiLlama称,仅4月份黑客就窃取了6.297亿美元,是自2025年2月以来的最高月度总额。
两起事故造成了大部分损失。KelpDAO损失了2.93亿美元,Drift Protocol遭遇了2.8亿美元的漏洞,合计占当月被盗资金的80%以上。
尽管五月亏损大幅下降,CertiK报告加密货币利用被盗金额达6830万美元,但四月最大攻击的后果仍在继续。今年六月,区块链情报平台Arkham报告称,KelpDAO漏洞背后的攻击者几乎洗钱了大约2.2亿美元未冻结的被盗资金。
KelpDAO 漏洞还促使多个 DeFi 协议审查其安全基础设施,包括 Solv 协议在内的项目宣布计划在内部安全审查后迁移至 Chainlink 的跨链基础设施。
本月,Anthropic表示,在其一年内因政策违规被封禁的832个账户中,有560个使用了人工智能来帮助准备网络攻击,包括编写恶意软件和识别漏洞。
