開發者警告：「DeFi全面不安全」，AI代理重塑安全威脅

根據安全研究人員 ExVul 的說法，攻擊者利用 WUSD.fi 和 GLOVE 激勵系統的漏洞，從以太坊上的 DeFi 流動性池（具體為 Uniswap V3）中竊取了估計約 20 萬美元。

攻擊者透過多個錢包循環資金，反覆套取獎勵，利用了協議激勵結構中內建的缺陷。

一波攻擊席捲生態系統

這起事件是近日震撼 DeFi 領域的多起事件之一。本週早些時候，冒充 Uniswap 的詐騙性 Google 廣告也相繼出現，將毫無戒心的用戶引導至專門竊取錢包憑證的釣魚網站——據報導，這一騙局在被標記之前已竊取了至少 40 萬美元。

接連發生的事件，為 OpenZeppelin 創辦人 Manuel Aráoz 發出的嚴厲公開警告奠定了背景。OpenZeppelin 是業內使用最廣泛的智能合約安全公司之一。

Aráoz 表示，他現在認為所有 DeFi 都是不安全的，這一聲明在他發布到網路後迅速在開發者圈子中廣泛傳播。

他的理由切中了區塊鏈安全運作方式的根本問題。防禦者必須找出並修補每一個漏洞，而攻擊者只需找到一個漏洞便能完全耗盡一個協議。

AI 工具改變了攻防平衡

Aráoz 將攻防平衡愈發難以維持的原因，歸結於 AI 驅動的程式碼工具。報導指出，他認為這些工具使攻擊者能夠以大多數安全團隊無法匹敵的速度和規模掃描合約漏洞。

他在私下通訊中更進一步，據報導建議親友將資金全部從主要 DeFi 平台撤出，包括 Aave、MakerDAO 和 Compound。這三個平台佔去中心化金融總鎖倉量的相當大比例。

網路安全分析師也提出了類似的擔憂，警告稱 AI 正在加速攻擊者繪製漏洞圖譜、建立釣魚基礎設施以及對實際運行協議執行模擬攻擊策略的速度。

現代 DeFi 協議的建構方式進一步加劇了這一問題。許多協議現在將多個組件層層疊加——跨鏈橋、借貸系統、質押機制、自動化獎勵合約——每增加一層都會擴大需要防禦的攻擊面。

OpenZeppelin 此前曾警示此類組合的危險性，發現了一個由 ERC-2771 與 Multicall 標準交互所產生的漏洞，這兩種廣泛使用的合約類型在一起使用時造成了意外的安全暴露。

主要協議已透過投入大量資源進行審計、漏洞賞金計劃及形式化驗證來作出回應。報導指出，即便如此，這些努力仍未能完全堵住釣魚攻擊和激勵操縱方案的入口。

目前的擔憂在於，規模較小的 DeFi 項目——那些沒有預算進行持續安全審查的項目——能否抵禦比以往行動更快的攻擊者。

精選圖片來自 Binance，圖表來自 TradingView