區塊鏈安全專家正敦促加密貨幣協議重新審查旗下智能合約,因為人工智慧(AI)工具正在讓駭客更快速地發現潛在漏洞,攻擊者如今能比以往更有效率地挖掘舊代碼中的安全缺陷。
專案的安全審查應該是「持續性」
區塊鏈調查公司 TRM Labs 政策主管 Ari Redbord 表示:
「我們的數據顯示,安全審查應該是持續性的,而不是只在項目上線前進行一次…攻擊技術的演變速度,已經超越單次上線前審計所能涵蓋的範圍。」
他指出,如果審計只針對去年流行的攻擊方式進行設計,那麼協議仍可能暴露在今年的新型攻擊之下,因為惡意攻擊者正在不斷改變策略。
安全公司 CertiK 週一發布報告指出,2026 年上半年駭客已竊取約 13.2 億美元加密資產,並且隨著業界安全防護措施提升,攻擊者也開始採用更加複雜的手段。
CertiK 表示,其中一種新策略是重新檢視過去的代碼庫,尋找早已存在但尚未被發現的漏洞,而這類攻擊「很可能受到更先進的自動化漏洞識別工具協助」,讓駭客能大規模掃描潛在弱點。
近期一個案例發生在隱私區塊鏈 Zcash。其安全工程師 Taylor Hornby 利用由 Anthropic 的 Claude Opus 4.8 驅動的自訂 AI 審計代理工具,發現了一項重大安全漏洞,該漏洞目前已經完成修補。
這項存在長達四年的漏洞,原本可能讓攻擊者在 Zcash 的 Orchard 隱私池中進行「無法被察覺的偽造貨幣攻擊」,進而破壞該網路的重要隱私功能。
CertiK 警告稱:「漏洞風險最高的時間窗口,不會隨著項目正式上線而結束。」對於仍運行舊版基礎設施的項目而言,重新審計應被視為持續性的營運要求,而不是部署時一次性的安全流程。
去年 12 月,Anthropic 進行的一項研究發現,AI 代理工具已經成功找出智能合約中價值約 460 萬美元的可利用漏洞。同時,目前仍有超過 723 億美元資金鎖定在數百個去中心化金融(DeFi)協議中,為駭客提供了巨大的攻擊誘因。
已停止運營的加密項目也成為攻擊目標
駭客如今不只瞄準活躍運行中的協議,甚至開始攻擊已停止維護的項目。
6 月 14 日,駭客利用智能合約漏洞,從已於 2023 年 3 月停止運營的 Aztec Connect 竊取約 210 萬美元資產。
五天後,去中心化交易所 mySwap 的智能合約遭到攻擊,損失約 30 萬美元。值得注意的是,該項目的用戶介面早已超過六個月停止接受新的流動性存入。
另一方面,5 月份則發生一起較為幸運的事件。一名白帽駭客「0xflorent」協助 48 名投資者找回超過 1,003 枚以太幣(ETH),價值約 172 萬美元。這些資金原本因 2016 年 Hong Coin(HONG)首次代幣發行(ICO)的智能合約漏洞而永久鎖定。
由於該 ICO 未達到募資目標,項目未能正式啟動,而投資者資金則因自動退款功能存在漏洞,長期困在智能合約之中。
重新審計只是第一步
Redbord 表示,提高代碼安全性與基礎設施防護並不是全部工作,整個產業與監管機構仍需要持續尋找方法,降低惡意網路活動,包括打擊北韓相關駭客行動,以及阻斷中國洗錢網絡。他比喻說:
「協議可以把門鎖好,但仍然需要有人去追捕正在破門而入的攻擊者。」
隨著 AI 工具降低漏洞挖掘門檻,區塊鏈安全領域正面臨新的攻防競賽。過去依靠一次性安全審計的模式,可能已不足以應付快速演變的攻擊環境,持續性的智能合約檢查與安全監控正逐漸成為 DeFi 生態系的新標準。