区块链分析公司 Chainalysis 于 6 月 9 日发布报告,记录 1 月至 5 月间,至少 3,670 万美元从未在区块浏览器公开验证原始代码的协议中被盗,共涉及 4 起攻击、5 个协议;攻击者在所有案例中均通过反编译原始字节码(而非阅读公开原始码)找到漏洞。
四起攻击案例:损失金额、日期与已确认漏洞类型
根据 Chainalysis 报告,五个受攻击协议的确认数据如下:
Truebit:2,620 万美元,2026 年 1 月 8 日,以太坊;getPurchasePrice() 函数整数溢出(Solidity v0.5.3,该版本缺乏自动溢出保护)
Trusted Volumes:590 万美元,2026 年 5 月 7 日,以太坊;RFQ 交易所代理程序存取控制漏洞
Aperture Finance:320 万美元,2026 年 1 月 25 日,以太坊;通过 transferFrom 绕过输入验证
(来源:Chainalysis)
Ekubo:140 万美元,2026 年 5 月 5 日,以太坊;回档逻辑未验证付款人身份
Chainalysis 确认,上述所有协议的相关合约在攻击发生时均未在 Etherscan 或其他区块浏览器上验证,亦无公开关联的原始代码。
Truebit 案例细节:2021 年部署的合约,链上记录显示系统性攻击行为
Chainalysis 的 Reactor 图表分析显示,发起 Truebit 攻击(2026 年 1 月 8 日,损失 2,620 万美元)的攻击者地址,在十二天前曾从 Sparkle 协议窃取 5 枚 ETH。
报告确认,该地址有系统地在已验证和未验证合约中寻找漏洞,从初步小目标逐步升级至最终的大规模攻击;两次攻击所得资金均通过 Tornado Cash 洗钱。Truebit 被攻击的合约自 2021 年起部署于以太坊,从未在 Etherscan 上验证原始代码。
未验证合约的三项安全缺口:Chainalysis 确认的防御失效机制
Chainalysis 报告确认,协议选择闭源部署时,以下三项传统安全层次同步失去作用:
白帽研究人员审查失效:无公开可读原始码,安全研究人员无法识别和回报漏洞
漏洞赏金计划排除:未验证合约通常被主流漏洞赏金计划明确排除在外
社群驱动回报失效:无原始码的开放审查环境,社群无法主动识别安全问题
Chainalysis 报告确认,对于部署未验证合约的协议而言,即时链上监控是目前唯一能替代上述失效机制的防护手段。
常见问题
未验证智能合约与已验证合约的核心安全差异是什么?
已验证合约的原始代码可在 Etherscan 等区块浏览器公开阅读,安全研究人员可直接识别漏洞并提交回报。未验证合约只公开编译后的字节码,安全研究人员和攻击者都需要通过反编译工具进行逆向工程,且未验证合约通常被排除在主流漏洞赏金计划之外。
Chainalysis 记录的 3,670 万美元如何与整体 DeFi 被盗情况对比?
根据 Chainalysis 报告,3,670 万美元是 DeFiLlama 同期记录的 88 个 DeFi 协议逾 10 亿美元总损失中的一个独立子类别。DeFiLlama 记录的大多数受攻击协议拥有已验证的智能合约,未验证合约攻击构成一个独特的攻击模式,不应与更广泛的 DeFi 安全统计直接比较。
Chainalysis 对未验证合约协议的具体安全建议是什么?
Chainalysis 报告确认的唯一具体建议是部署即时链上监控,以替代传统安全生态系统在未验证合约上的失效功能。报告未提供具体的监控工具推荐、实施标准或时程建议。
免责声明:以上内容(如有图片或视频亦包括在内)均为平台用户上传并发布,本平台仅提供信息存储服务,对本页面内容所引致的错误、不确或遗漏,概不负任何法律责任,相关信息仅供参考。
本站尊重他人的知识产权、名誉权等法律法规所规定的合法权益!如网页中刊载的文章或图片涉及侵权,请提供相关的权利证明和身份证明发送邮件到qklwk88@163.com,本站相关工作人员将会进行核查处理回复
