新聞 
幣種資訊 
關於我們 
以太幣(ETH) 生態系近期再度傳出「獎勵機制被鑽漏洞」的事件。根據區塊鏈安全公司 ExVul 的分析,攻擊者鎖定 *以太坊(ETH) DeFi* 流動性池的獎勵設計缺陷,透過「*重複挖礦*」方式不斷提取獎勵,最終導致約「20 萬美元」資金流失。這並非傳統意義上的智慧合約駭入,而是對「*獎勵結構缺陷*」的精準利用,凸顯當前 *DeFi 安全* 面臨的新型風險。
根據 ExVul 的說明,此次事件發生在 *Uniswap V3* 上,攻擊者鎖定 WUSD.fi 與 GLOVE 的獎勵分配邏輯。透過多個錢包地址來回移動資金,刻意放大「可領取獎勵」的區間,反覆收割獎勵池中的代幣。由於這類操作符合合約既定邏輯,表面上並不觸發一般防禦機制,卻實質消耗了其他流動性提供者原本應獲得的獎勵,形同對整個池子的「隱形抽血」。
「評論」這類 *獎勵結構攻擊* 與傳統的閃電貸攻擊或預言機操縱不同,更接近「設計缺陷套利」。在監管仍未完全釐清的情況下,往往難以被追責,對協議信任度的打擊卻一樣深。
ExVul 亦指出,近期市場上還出現冒充 *Uniswap* 的 Google 關鍵字廣告釣魚網站,部分用戶在連結錢包並簽署惡意授權後,資產被一次性轉出,相關損失累計至少約「40 萬美元」。這意味著,*合約層風險* 與 *社交工程風險* 正同時升級,進一步壓縮 DeFi 用戶的安全邊際。
根據 *OpenZeppelin* 創辦人曼努埃爾·阿拉奧斯(Manuel Aráoz)近日的公開表態,他已不再認為有任何一個 *DeFi 協議* 可以被視為「真正安全」。他的論點聚焦在「防禦與攻擊之間的結構性不對稱」:
防禦方必須找出並修補幾乎所有潛在漏洞,才能勉強接近安全;但攻擊者只要掌握其中一個尚未被發現的缺口,就有機會將整個資金池清空。這種「單點失誤、全盤皆輸」的結構,使得 *DeFi 安全* 永遠處在被動追趕狀態。
阿拉奧斯特別點名 *AI 程式開發工具* 正在放大這種不對稱。他指出,基於 AI 的程式碼輔助工具,已讓攻擊者可以更快速審視大量智慧合約,尋找邏輯邊界條件、錯誤授權流程、獎勵計算瑕疵等脆弱點。對比之下,多數協議方與審計團隊的資源與工具並未同步升級,在速度與覆蓋度上逐漸落後。
在更廣泛的資安領域,安全研究人員也觀察到,*AI* 正被用於自動生成釣魚網站、生成多語系詐騙訊息、掃描已部署合約的結構與事件紀錄,並模擬多種攻擊路徑。這讓傳統依賴人工審閱與手動測試的安全流程顯得愈來愈吃力。據傳,阿拉奧斯甚至私下建議身邊熟人,暫時將資金從 *Aave( AAVE )、MakerDAO、Compound* 等主要 *DeFi 平台* 移出,以降低合約層與基礎設計缺陷帶來的系統性風險。這被市場解讀為:就算是頭部協議,也難以保證長期「零缺陷」。
這一連串事件背後,反映出 *DeFi 協議結構* 正快速走向高度複雜。當前主流協議往往同時整合跨鏈橋接(Bridge)、去中心化借貸、質押(Staking)、自動化做市與多層獎勵合約等功能。功能疊加固然提升使用彈性與收益來源,卻也大幅擴張「*攻擊面*」:每多一層合約介面或一種呼叫標準,就多出一組可能被錯用、組合錯誤或邊際條件處理不周的風險點。
*OpenZeppelin* 此前就曾提醒,當 *ERC-2771* 與 *Multicall* 等標準同時使用時,若開發者未嚴格處理「真實呼叫者身分」與「批次呼叫順序」等細節,容易產生出乎意料的授權繞過或邏輯錯置漏洞。儘管多數大型協議已投入大量資源於安全審計、Bug Bounty 計畫與形式化驗證工具,但在 *釣魚攻擊*、*激勵扭曲*、*經濟設計漏洞* 等領域,防禦仍然明顯落後於攻擊實務。
「評論」從投資與用戶角度看,這代表 *以太坊(ETH) DeFi 生態* 已進入一個「*安全競賽必須跟上 AI 時代攻擊速度*」的新階段。擁有充足資本與技術團隊的大型協議,尚有餘裕導入自動化形式驗證、AI 輔助審計等手段;但資金、人才相對有限的中小型 *DeFi 項目*,在面對更精密、更高速、甚至全自動化的攻擊時,將顯得格外脆弱。
對一般使用者而言,風險管理的重要性正在被重新定義:不僅要評估代幣波動與清算風險,更需考慮「*協議本身是否有能力持續投資安全*」、「是否有開源程式碼與第三方審計」、「遇到事故是否有緊急暫停與補償機制」等因素。此次約 20 萬美元因獎勵機制被鑽漏洞而流失的案例,只是眾多事件的一個縮影,卻清楚提醒市場——在 *AI 強化攻擊* 的時代,*DeFi 安全* 正變得比過去任何時候都更加關鍵而緊迫。
留言 0