zombie
> > > >
> > > >

AI 加速駭客破門!安全專家敦促重視舊代碼:智能合約需持續重審

2026/07/09 15:36
AI 加速駭客破門!安全專家敦促重視舊代碼:智能合約需持續重審

區塊鏈安全專家正敦促加密貨幣協議重新審查旗下智能合約,因為人工智慧(AI)工具正在讓駭客更快速地發現潛在漏洞,攻擊者如今能比以往更有效率地挖掘舊代碼中的安全缺陷。

專案的安全審查應該是「持續性」

區塊鏈調查公司 TRM Labs 政策主管 Ari Redbord 表示:

「我們的數據顯示,安全審查應該是持續性的,而不是只在項目上線前進行一次…攻擊技術的演變速度,已經超越單次上線前審計所能涵蓋的範圍。」

他指出,如果審計只針對去年流行的攻擊方式進行設計,那麼協議仍可能暴露在今年的新型攻擊之下,因為惡意攻擊者正在不斷改變策略。

安全公司 CertiK 週一發布報告指出,2026 年上半年駭客已竊取約 13.2 億美元加密資產,並且隨著業界安全防護措施提升,攻擊者也開始採用更加複雜的手段。

CertiK 表示,其中一種新策略是重新檢視過去的代碼庫,尋找早已存在但尚未被發現的漏洞,而這類攻擊「很可能受到更先進的自動化漏洞識別工具協助」,讓駭客能大規模掃描潛在弱點。

近期一個案例發生在隱私區塊鏈 Zcash。其安全工程師 Taylor Hornby 利用由 Anthropic 的 Claude Opus 4.8 驅動的自訂 AI 審計代理工具,發現了一項重大安全漏洞,該漏洞目前已經完成修補。

這項存在長達四年的漏洞,原本可能讓攻擊者在 Zcash 的 Orchard 隱私池中進行「無法被察覺的偽造貨幣攻擊」,進而破壞該網路的重要隱私功能。

CertiK 警告稱:「漏洞風險最高的時間窗口,不會隨著項目正式上線而結束。」對於仍運行舊版基礎設施的項目而言,重新審計應被視為持續性的營運要求,而不是部署時一次性的安全流程。

去年 12 月,Anthropic 進行的一項研究發現,AI 代理工具已經成功找出智能合約中價值約 460 萬美元的可利用漏洞。同時,目前仍有超過 723 億美元資金鎖定在數百個去中心化金融(DeFi)協議中,為駭客提供了巨大的攻擊誘因。

已停止運營的加密項目也成為攻擊目標

駭客如今不只瞄準活躍運行中的協議,甚至開始攻擊已停止維護的項目。

6 月 14 日,駭客利用智能合約漏洞,從已於 2023 年 3 月停止運營的 Aztec Connect 竊取約 210 萬美元資產。

五天後,去中心化交易所 mySwap 的智能合約遭到攻擊,損失約 30 萬美元。值得注意的是,該項目的用戶介面早已超過六個月停止接受新的流動性存入。

另一方面,5 月份則發生一起較為幸運的事件。一名白帽駭客「0xflorent」協助 48 名投資者找回超過 1,003 枚以太幣(ETH),價值約 172 萬美元。這些資金原本因 2016 年 Hong Coin(HONG)首次代幣發行(ICO)的智能合約漏洞而永久鎖定。

由於該 ICO 未達到募資目標,項目未能正式啟動,而投資者資金則因自動退款功能存在漏洞,長期困在智能合約之中。

重新審計只是第一步

Redbord 表示,提高代碼安全性與基礎設施防護並不是全部工作,整個產業與監管機構仍需要持續尋找方法,降低惡意網路活動,包括打擊北韓相關駭客行動,以及阻斷中國洗錢網絡。他比喻說:

「協議可以把門鎖好,但仍然需要有人去追捕正在破門而入的攻擊者。」

隨著 AI 工具降低漏洞挖掘門檻,區塊鏈安全領域正面臨新的攻防競賽。過去依靠一次性安全審計的模式,可能已不足以應付快速演變的攻擊環境,持續性的智能合約檢查與安全監控正逐漸成為 DeFi 生態系的新標準。

參考來源

join Zombit

加入桑幣的社群平台,跟我們一起討論加密貨幣新資訊!

桑幣熱門榜

zombie

桑幣正在徵文中,我們想要讓好的東西讓更多人看見!
只要是跟金融科技、區塊鏈及加密貨幣相關的文章,都非常歡迎向我們投稿
投稿信箱:[email protected]

為提供您更多優質的服務與內容,本網站使用 cookies 分析技術。若您繼續閱覽本網站內容,即表示您同意我們使用 cookies,關於更多相關隱私權政策資訊,請閱讀我們的隱私權及安全政策宣示