资金费率
资金费率热力图
多空比
大户多空比
币安/欧易/火币大户多空比
Bitfinex杠杆多空比
账号安全
资讯收藏
自选币种
Chainalysis报告:六个月内有3670万美元因DeFi黑客攻击流失,AI技术被用于助长攻击
根据区块链分析公司Chainalysis的最新报告,去中心化金融(DeFi)协议在过去六个月内因针对未经验证的智能合约的攻击,至少损失了3670万美元。该报告指出,攻击者越来越倾向于瞄准那些源代码未公开的协议,并常常利用已存在多年的漏洞。
最大单次事件:Truebit漏洞攻击
最严重的一次攻击涉及Truebit,这是一个用于验证以太坊网络上计算任务的协议。攻击者利用了一个自2021年起就已部署在以太坊上但未经验证的智能合约中的漏洞,窃取了2620万美元。仅这一起事件就占据了这六个月报告总损失的70%以上。其他受影响的协议包括Trusted Volumes、Aperture Finance和Ekubo,但其具体损失金额的信息仍然有限。
人工智能与反编译器:攻击的新时代
Chainalysis指出,反编译器工具和人工智能的最新进展使这些攻击变得显著更容易执行。那些过去需要安全专家花费数天进行人工分析的智能合约,现在可以使用AI驱动工具进行规模化分析和攻击。这降低了恶意行为者的准入门槛,并增加了针对审计不充分或未经验证代码的攻击频率。
为什么未经验证的智能合约会成为目标
未经验证的智能合约在Etherscan等区块链浏览器上缺乏公开的源代码。这种隐蔽性曾被视为一种轻微的安全措施,但报告显示,这反而使协议成为了主要攻击目标。黑客使用反编译器对字节码进行逆向工程,识别漏洞并发起攻击。Chainalysis的数据强调,智能合约代码的透明性正成为一项关键的安全要求,而不仅仅是最佳实践。
对DeFi生态系统的影响
这一发现正值DeFi领域已经面临严格的监管和安全审查之际。对于用户而言,该报告是一个警示,要求他们核实所使用的协议是否拥有经过审计的、开源的智能合约。对于开发者而言,报告强调了在部署前进行全面的安全审计和代码验证的迫切性。攻击者对AI的使用也表明,安全团队必须采用同样先进的工具来进行威胁检测和漏洞评估。
结论
Chainalysis的报告描绘了一幅清晰的图景:DeFi行业正面临一波由AI推动、针对未经验证代码的新一轮复杂攻击。仅仅六个月就损失了3670万美元,而Truebit事件就占了其中的大部分,这传递了一个明确无误的信息。透明度、严格的审计和主动的安全措施不再是可选项——它们对于去中心化金融平台的生存和可信度至关重要。
常见问题解答
Q1: 什么是未经验证的智能合约?
A: 未经验证的智能合约是指其源代码未在Etherscan等区块链浏览器上发布的合约。这使得用户和安全专家更难审查代码中是否存在漏洞。
Q2: AI是如何被用于黑客攻击智能合约的?
A: 攻击者使用AI驱动的反编译器工具来逆向工程未经验证智能合约的字节码,识别安全缺陷,并自动化规模化地进行攻击过程。
Q3: DeFi用户如何保护自己?
A: 用户应只与那些拥有经过验证、公开可用的智能合约代码,并经过独立安全审计的协议进行交互。同时建议检查最近的审计报告和社区反馈。
