区块链分析公司 Chainaanalysis 报告称，过去六个月中，针对未经验证的智能合约的一系列攻击已导致多个去中心化金融 (DeFi) 协议损失超过 3600 万美元。最大的单一事件涉及基于以太坊的 Truebit 协议的利用，导致 2600 万美元被盗走。

这些攻击集中针对 Truebit、Trusted Volumes、Aperture Finance 和 Ekubo。在每种情况下，受损的合约都缺乏区块链浏览器上经过公开验证的源代码，因此很容易受到未被发现的缺陷的影响。

据 Chainaanalysis 称，Truebit 合约自 2021 年起就部署在以太坊上。它是使用 Solidity v0.5.3 编译的，这是在自动溢出保护成为标准之前发布的编译器版本。攻击者在其联合曲线机制中发现了整数溢出缺陷，从而能够在将代币交换为以太坊（ETH）之前以最低的成本铸造大量代币。

该公司强调，经过验证的合约受益于社区审查、错误赏金计划和独立研究人员的审查。未经验证的合约不会受到任何此类监督，并且许多错误赏金计划明确排除它们，从而使漏洞持续存在多年，而大量资金通过代码流动。

攻击者通过反编译的字节码来利用这一漏洞。他们使用 Dedaub、Heimdall 和 Panoramix 等工具将原始链上字节码转换为可读格式。然后，可以将反编译的代码输入到人工智能驱动的系统中，该系统能够识别重入缺陷、算术错误和访问控制弱点，其规模是人类审计员无法比拟的。

虽然这些特定攻击造成的 3670 万美元损失仅占同一六个月期间超过 10 亿美元的 DeFi 盗窃总额的一小部分，但 Chainaanalysis 警告称，问题可能会升级。随着自动化分析工具变得越来越容易获取和负担得起，攻击者可以更轻松地扫描大量休眠的、未经验证的合约，并根据可利用性对它们进行排名。

这四起事件的具体漏洞各不相同，包括整数溢出、访问控制失败、输入验证错误和身份验证缺陷。共同因素是缺乏公共源代码、外部审查和实时监控，无法在资金被盗之前检测到异常活动。

Chainaanalysis 建议协议将源代码验证视为任何持有用户资产的合约的基线要求。该公司还建议，安全审计和错误赏金覆盖范围应扩大到代理结构背后的实施合同，即使主要代理合同得到验证，这些合同通常仍然未经审查。