6月10日,区块链分析公司Chainalysis发布报告指出,攻击者正越来越多地将目标转向未公开验证源码(Unverified Smart Contracts)的智能合约。过去六个月内,至少有4个采用未验证合约的DeFi协议遭攻击,共计损失约3670万美元。 报告认为,随着Dedaub、Panoramix等反编译工具的发展,以及AI大模型能够快速分析反编译后的字节码,攻击者已能够批量扫描链上未验证合约,自动识别重入攻击、权限控制缺陷和算术溢出等漏洞,并筛选出最具攻击价值的目标。 Chainalysis表示,未验证合约虽然降低了外界直接审查源码的难度,但也失去了白帽研究员、社区审计以及漏洞赏金计划带来的安全保护。典型案例包括今年1月发生的Truebit攻击事件,攻击者利用一份自2021年部署以来从未公开验证源码的合约中的整数溢出漏洞,窃取约2620万美元。 在AI辅助漏洞挖掘能力持续提升的背景下,“依赖代码隐藏实现安全”的模式正在迅速失效。Chainalysis建议协议方将源码验证视为最低安全标准,并加强实时链上监控和漏洞赏金覆盖范围,以降低潜在攻击风险。