新聞 
幣種資訊 
關於我們 
近期區塊鏈分析公司「詞」*Chainalysis* 公布最新報告指出,過去 6 個月內,與「詞」*未公開原始碼* 的智慧合約相關之「詞」*DeFi(去中心化金融)* 攻擊,已造成至少 3670 萬美元損失。報告顯示,駭客正集中鎖定「詞」*未驗證合約* 的協議,「隱藏程式碼」不再是有效防禦,而是新的風險來源。
根據 Chainalysis 的說明,最大宗損失發生在「詞」*Truebit* 協議上。Truebit 在「詞」*以太幣(ETH)* 網路上,自 2021 年起就一直運行一份從未公開驗證的合約,最終被駭客利用其中的「詞」*整數溢位(Integer Overflow)* 漏洞,遭竊約 2620 萬美元。除此之外,「詞」*Trusted Volumes*、「詞」*Aperture Finance*、「詞」*Ekubo* 等協議,也因類似型態的合約缺陷而蒙受損失。
Chainalysis 指出,這系列攻擊的共同點,正是這些「詞」*未驗證智慧合約*。由於相關協議在區塊鏈瀏覽器上並未公開原始碼,導致「詞」*安全研究人員* 難以事前審查,也常被排除在「詞」*漏洞賞金(Bug Bounty)* 計畫範圍之外。這代表在實際掌管用戶資金的情況下,卻缺乏外部審計與公開檢驗,等於讓潛在弱點長期暴露而不自知。
公司同時強調,「詞」*反編譯工具* 與「詞」*人工智慧(AI)* 的進步,進一步降低了攻擊門檻。過去專業逆向工程人員可能需要花上數天時間,才能深入解析一份合約;如今,攻擊者可以批量掃描大量「詞」*未驗證合約*,更快速地自動化挖掘漏洞。Chainalysis 認為,DeFi 業界過去長期抱持的「詞」*『不公開程式碼就比較安全』* 這套假設,正在迅速失效。
在因應策略方面,Chainalysis 建議協議方應優先落實「詞」*原始碼驗證*,擴大「詞」*漏洞賞金計畫* 的適用範圍,並導入「詞」*即時監控工具* 追蹤鏈上異常活動。報告強調,DeFi 防禦的關鍵不在於「不公開」,而在於「詞」*可驗證性與持續審查*:在攻擊事件持續增加的環境下,「詞」*程式碼公開* 與「詞」*長期安全檢測機制* 正成為最基本也是最必要的防禦底線。
另一方面,今年 4 月加密貨幣領域整體「詞」*駭客攻擊損失* 一度飆升至 6 億 2970 萬美元,創下過去一年來單月最高紀錄。到了 5 月,損失金額雖回落至約 6830 萬美元,但先前大型攻擊的衝擊仍在發酵。隨著 DeFi 安全事故反覆出現,市場對協議風險的警覺度持續升高,對「詞」*安全審計*、「詞」*程式碼驗證* 以及「詞」*鏈上監控* 的期待也水漲船高。
評論:從這份報告可見,單純「把合約藏起來」已無法阻止駭客,反而會削弱社群與白帽駭客的監督力量。對 DeFi 協議來說,如何在開源透明與安全性之間取得平衡,以及是否願意將「程式碼審查」與「漏洞懸賞」視為營運成本的一部分,將直接影響未來是否仍是攻擊者首選目標。
留言 0