在同一条时间线上,两条危险曲线正在交叉:一边是Chainalysis 最新报告刻画的“未验证智能合约”战场——攻击者在AI工具(包括大语言模型)的加持下,即便只能看到字节码,也能系统性挖掘漏洞、批量扫描链上目标;据报告统计,过去六个月里,Truebit、Trusted Volumes、Aperture Finance 和 Ekubo 等至少四个采用未验证合约的 DeFi 协议先后中招,累计损失约 3670 万美元,成为这一趋势的代表性样本。另一边,则是Humanity 刚刚遭遇的安全攻击:项目方在确认事件后,第一时间公开攻击者地址并搭建实时追踪页面,将相关转账路径同步给多家中心化与去中心化平台,同时宣布为受影响用户制定恢复计划,并拿出总额 100 万枚 USDT 悬赏,征集任何有助于追回被盗资金的线索,且承诺若成功追回将用于回购代币 H;在技术成因与精确损失仍待确认的当下,这份悬赏与追踪动作本身,已经把当下加密世界的安全版图勾勒得足够清晰——一端是代码与未验证合约的AI攻防,另一端是密钥、运营与追偿博弈,共同构成了“合约安全与私钥安全双战场”。
AI助攻黑客,未验证合约成新猎物
在这条“合约安全战线”上,最先被撕开的缺口,其实来自那些自以为藏在暗处的未验证智能合约。所谓未验证智能合约,是指源码没有在链上或主流区块浏览器完成公开验证的合约,外部安全团队和社区无法直接阅读、逐行审查其逻辑,只能看到冷冰冰的字节码。这种做法切断了常规审计与社区审查的协同,却并不能真正阻挡有准备的攻击者,因为对方同样可以拿到字节码,只是换了一套工具下手。
Chainalysis 在最新报告中指出,攻击者的工具箱正在被 AI 改造:他们不再依赖公开源码,而是把未验证合约的原始字节码作为输入,借助反编译工具和大语言模型做模式识别与系统化漏洞挖掘。过去六个月内,至少有 Truebit、Trusted Volumes、Aperture Finance 和 Ekubo 四个采用未验证合约作为核心逻辑的 DeFi 协议先后被攻破,累计损失约 3670 万美元,成为这一趋势的典型样本。“代码不公开就更安全”的旧思路,在 AI 时代被反转成防守方的视野盲区:守方失去了社区和第三方的提前预警,攻方却在算法协助下加速拆解字节码,黑盒越厚,往往只是让防守方越看不清风险本身。
从Truebit到Ekubo的DeFi攻击共性
如果把Truebit、Trusted Volumes、Aperture Finance和Ekubo放在同一时间轴上看,就很难再把它们当成四起互不相关的事故。据Chainalysis报告统计,过去六个月里,这四个都采用未验证智能合约的DeFi协议先后中招,累计损失约3670万美元,被明确归类为同一攻击趋势下的代表性样本:核心业务逻辑封装在未验证合约内,源码没有在公开平台完成验证,外部安全团队和社区无法提前“对着代码挑刺”,而攻击者却可以在链上直接对着字节码反复推演,寻找那一条足以撕开防线的执行路径。
从结果上看,这几起事件传递出的并不是“个别项目粗心大意”的信号,而是一个正在成型的结构性矛盾:一边是DeFi项目为了容纳更复杂的业务流程、保持快速迭代,选择把关键合约长期停留在未验证状态;另一边是攻击者在AI等工具加持下,把未验证合约当成优先排查的高价值目标。Truebit、Trusted Volumes、Aperture Finance和Ekubo的共性,正是这种错位的集中体现——复杂逻辑叠加未验证外壳,构成了攻击路径的聚焦点,也把“是否验证合约”从合规与否的问题,推到了关系生死的底线位置,这一点是后续所有DeFi项目都难以回避的。
Humanity被攻:代码之外的第二战场
就在未验证合约被推上风口的同一阶段,Humanity 的事故把聚光灯打向了另一条防线——并非合约本身被指出存在漏洞,而是更接近密钥管理、设备与运营流程这一整条“链下”攻击面。官方目前仅确认遭遇安全攻击,具体发生时间、入侵路径与技术成因都仍未公开明确,这种信息空白本身,就暴露了项目在运营与安全沟通上的压力:当你连究竟是合约逻辑、私钥泄露,还是运营端设备被攻破都说不清时,市场对风险的想象空间会自动拉满。
与部分项目在事故后选择降噪不同,Humanity 在确认遭攻后第一时间给出了清晰的链上锚点:标记并公开攻击者地址,将该地址的下游转账路径同步给多家中心化和去中心化交易平台及聚合器,并对外称已上线围绕该地址及相关资金流的实时追踪页面,方便社区持续盯盘。这意味着,哪怕技术复盘尚未完成,围绕那一个地址展开的拦截、冻结与协同响应,已经先一步进入执行层面。同时,官方宣布正为受影响用户制定恢复计划,把“怎么补偿”与“怎么堵洞”两条线并行推进。与前文那些因为未验证合约而被 AI 放大攻击面的 DeFi 协议相比,Humanity 的案例提醒市场:即便合约代码从未被指出有明显缺陷,只要私钥托管、设备安全、内部权限与运营流程任何一环松动,攻击者就能绕开公开审计进场,代码之外的这条安全链条,已经实质性地成为与链上合约同等级的重要战场。
Humanity悬赏100万USDT与H回购
在追踪攻击者地址、搭建实时追踪页面之后,Humanity抛出了更具对抗意味的一张牌:官方宣布设立总额 100 万枚 USDT 的悬赏,用于奖励任何能提供有效线索、帮助追回被盗资产的个人或团队。悬赏细则和联络方式已在官方渠道公布,但具体邮箱与链接仍需用户自行再做核验。项目方在说明中刻意把这笔悬赏、链上资金追踪以及用户恢复计划放在同一套应急框架里,试图在“找到人”“找到钱”和“安抚用户”三条线之间建立闭环。
更具市场指向性的是,Humanity公开承诺,若成功追回部分或全部资产,将把追回资金用于在二级市场回购其代币 H。这意味着,一旦追偿有进展,资金不会停留在项目金库,而是直接作用于 H 持有者的资产结构。对攻击者而言,高额悬赏与潜在回购营造出一种“谈判锚点”,增加其出于现实考量选择退还资金的可能性;对白帽和安全团队来说,明确的赏金池提高了主动协查的预期收益;对社区和受损用户,则至少看到了一条从追踪、悬赏到回购的路径,被告知项目方并未只停留在技术复盘层面,而是在尝试用可见的财务承诺争取时间和信心。
AI时代:合约公开与私钥防线
从Chainalysis归纳的未验证合约攻击潮,到Humanity在技术成因仍待确认的情况下因链下薄弱环节遭遇重击,一个越来越清晰的结论是:在AI已经被攻击者系统性用于“读码抓洞”的时代,安全防线不再只是一份合约,而是必须同时覆盖链上代码公开程度与链下密钥托管、访问控制和运营流程。对项目方而言,现实考题摆在眼前:是继续依赖“源码不公开、外界看不到就相对安全”的隐蔽式防御,还是接受AI迟早会穿透字节码这一前提,主动走向在浏览器上完成源码验证、引入第三方审计、与社区安全力量更透明协作,并同步升级多签结构、权限分级和内控流程。Humanity在事后选择公开攻击者地址和转账路径、搭建追踪页面、筹备恢复计划、设立百万USDT悬赏并承诺用追回资金回购H,给出了一个多线修复的样本,也提示了后续几个关键观察变量:更广泛的未验证合约项目是否会在AI压力下主动转向源码公开与审计,未来安全事件中悬赏与代币回购式应急方案会否成为常态,以及监管与基础设施提供方会在多大程度上介入,向项目方和用户提供更专业的合规与安全支持,这些变化是否出现,将决定AI时代链上生态能否在更透明的合约与更严密的密钥防线之间找到新的安全平衡。
加入我们的社区,一起来讨论,一起变得更强吧!
AiCoin专属Hyperliquid福利:https://app.hyperliquid.xyz/join/AICOIN88
AiCoin专属Aster福利:https://www.asterdex.com/zh-CN/referral/9C50e2
链上电报(Telegram)社群:https://t.me/AiCoinWhaleData
链上社区:https://www.aicoin.com/link/chat?cid=N6OVMor5g
AiCoin链上推特:https://x.com/aicoinwhaledata
免责声明:本文章仅代表作者个人观点,不代表本平台的立场和观点。本文章仅供信息分享,不构成对任何人的任何投资建议。用户与作者之间的任何争议,与本平台无关。如网页中刊载的文章或图片涉及侵权,请提供相关的权利证明和身份证明发送邮件到support@aicoin.com,本平台相关工作人员将会进行核查。
