Key Takeaways:
- AI工具正在加速漏洞發現,縮短智能合約審計的有效保鮮期
- 2026年上半年,駭客在182起事件中竊取13.2億美元,已停運的DeFi協議日益成為目標
- Zcash修補了一個存在四年的Orchard隱藏池漏洞,該漏洞由Claude Opus 4.8驅動的代理發現
Key Takeaways:

區塊鏈安全公司正警告加密協議重新審計遺留智能合約,因為AI驅動的工具讓駭客比傳統審計週期更快識別漏洞。
「專為去年攻擊模式設計的審計,讓協議在今年面臨風險,因為壞人不斷改變手法,」TRM Labs政策主管Ari Redbord表示。「我們的數據支持持續審查,而非一次性審計。」
CertiK週一報告指出,2026年上半年駭客在182起事件中竊取13.2億美元,儘管總損失較去年同期的23.7億美元大幅下降約60%。數據顯示出頻率與嚴重程度之間的裂痕——攻擊次數增加,但最大金額集中於少數高價值目標。
根據SlowMist年中報告,合約與邏輯漏洞佔85起事件,為所有類別中最多的。供應鏈攻擊造成約2.98億美元的最大損失,其中Kelp DAO被盜事件就流失近2.92億美元。研究人員將該攻擊與北韓Lazarus集團的一個分支聯繫起來。私鑰與憑證洩露造成約1.3億美元損失,而合約缺陷則約佔1.52億美元。以太坊是遭受攻擊最嚴重的生態系統,相關損失約1.34億美元。
AI代理重塑攻擊面
SlowMist強調人工智慧是一個日益嚴重的威脅向量,指出AI已降低了社交工程和自動化攻擊的門檻。攻擊者現在在整個攻擊鏈中使用AI。在一個案例中,名為HexagonalRodent的Lazarus分支利用虛假工作機會引誘開發者植入後門代碼,並使用ChatGPT和Cursor生成代碼及撰寫通訊內容。
AI代理本身也成為了攻擊目標。在2026年5月的一起事件中,攻擊者空投了一個能解鎖高權限轉帳的NFT,隨後向聊天機器人Grok發送摩斯密碼訊息,該訊息被解碼為隱藏的轉帳指令。關聯的交易代理BankrBot將該輸出視為可信並在鏈上轉移了約17.5萬美元。SlowMist將此歸類為「AI代理信任鏈」攻擊。
已停運協議成為新目標
駭客開始利用已停運的去中心化金融協議的代碼庫,盜取數百萬美元的客戶資金。6月14日,一名攻擊者利用智能合約漏洞從Aztec Connect竊取210萬美元,該協議自2023年3月已關閉。五天後,去中心化交易所mySwap上的一個智能合約被盜30萬美元,儘管其用戶界面已對新流動性存款關閉超過六個月。
CertiK警告稱,這些攻擊「很可能得益於改進後的自動化工具,能夠大規模識別潛在漏洞。」該公司表示,運營遺留基礎設施的項目應將重新審計視為常規運營要求,而非一次性工作。
在一個較為幸運的案例中,白帽駭客「0xflorent」在5月從2016年Hong Coin首次代幣發行的48位投資者手中追回了1,003枚以太幣,價值超過172萬美元。該ICO因未達到募資目標而未能啟動,資金因自動退還功能中的一個漏洞而鎖在智能合約中。
Zcash漏洞由AI代理發現
隱私區塊鏈Zcash修補了其Orchard隱藏池中的一個關鍵漏洞,此前Shielded Labs安全工程師Taylor Hornby使用由Anthropic的Claude Opus 4.8驅動的自定義審計代理發現了該漏洞。該漏洞存在了四年,原本可能使攻擊者在網路關鍵隱私功能之一內進行無法偵測的偽造。
Anthropic在12月進行的一項研究發現,AI代理識別出了價值460萬美元的可利用智能合約漏洞。根據DefiLlama的數據,超過723億美元的加密資產鎖定在數百個DeFi協議中,攻擊者利用脆弱代碼的動機持續增長。
「最大漏洞窗口並不會在啟動後關閉,」CertiK警告道。Redbord補充說,更廣泛的行業和監管機構需要繼續尋找方法來減少北韓的惡意活動,並打擊中國的洗錢網絡。「協議可以鎖上大門,但還是得有人去追查闖入的歹徒,」他表示。
本文僅供資訊參考,不構成投資建議。