过去一周,三起针对老旧 DeFi 专案的骇客攻击窃取了约 500 万美元。
三个被攻击的项目都是 DeFi 在 2020-2022 年周期中广为人知的项目,受影响的合约均来自已废弃、不可更改或不再维护的项目。
这些相似之处让一些人怀疑,旧合约是否正成为一场集中的、人工智慧辅助的骇客攻击活动的目标。
Ribbon Finance在复苏计划上反复无常
上周五,Aevo(前身为Ribbon Finance)发布公告,称其「旧版 Ribbon DOV 保险库」遭到预言机篡改攻击,造成 270 万美元损失。公告同时向 Aevo 用户保证,他们的帐户未受影响。
在随后删除的一篇贴文中,该团队宣布了一项计划,将使用其自有资金 40 万美元以及来自「休眠」用户的资产来补偿受影响的人。
然而,几天后,Ribbon 团队撤回了这项备受争议的计划,澄清说受影响的用户实际上将遭受 100% 的损失。
阅读更多:尽管重仓 OpenAI 和 Tempus,木头姐仍被人工智慧的泥潭所迷惑
倒闭的Rari Capital被劫持
Rari Capital 遭受的 200 万美元骇客攻击发生在 12 月 10 日,但一周后才被发现。
攻击者似乎“劫持了实施合约”,得以“无需提供任何抵押品”即可藉入资产。
阅读更多: LLM加密货币交易比赛发现LLM学员无法进行加密货币交易
继2021年和2022年分别遭遇1,500万美元和8,000万美元的骇客攻击后,Rari Capital停止了营运。根据DefiLlama的数据,Rari的合约中仍包含约270万美元的资金。
该团队后来在 2024 年 9 月与美国证券交易委员会达成和解,原因是「误导投资者和从事未注册的经纪活动」以及未注册的证券发行。
Yearn Finance:事不过三
周二,一份已有五年历史的 iEarn Finance(Yearn 的前身)合约遭到攻击,损失金额约为 25 万美元。
化名 Yearn 的开发者 Banteg 描述了「配置错误的适配器」如何导致「多个 DeFi 协定发生级联故障」。
阅读更多: DeFi收益聚合平台Yearn揭露9月yUSND金库事件
这次骇客攻击利用了与2023年攻击相同的漏洞,那次攻击造成1,100万美元的损失。 Yearn先前曾在2021年遭到骇客攻击,损失同样为1,100万美元。
除了骇客攻击之外,Yearn 在 2023 年还遭遇了一次营运事故,由于「重大失误」损失了 140 万美元。
上个月,该团队还披露了其一个金库故障,Yearn 弥补了资金缺口。
人工智慧辅助的骇客攻击浪潮?
鉴于 DeFi 协定中智慧合约被骇客攻击的发生率总体呈下降趋势,近期的集中攻击引起了人们的关注。
一位网名为storm0x的安全研究员(也是前Yearn开发者)怀疑有人可能“专门针对旧版合约,甚至可能使用新的工具和LLM?”
他们建议撤销 2021 年及以后签订的「已弃用、已终止或已放弃」的合约。
另一位观察家也认同storm0x的担忧。他们认为,人工智慧技术的蓬勃发展,使得原本就技术高超的攻击者面临更大的威胁,这可能会在未来几年给DeFi开发者带来「极其痛苦」的局面。
他们说:“构建、采样、测试和利用策略的门槛从未如此之低。”
除了人工智慧支援的骇客攻击范围不断扩大之外,自主人工智慧骇客攻击未来也可能构成威胁。
Anthropic 最近的一项研究将人工智慧代理与 2020 年至 2025 年间利用的 405 个智慧合约库进行了比较。
这些人工智慧模型在知识截止后自主地利用已部署的合约漏洞,获利高达450万美元。此外,它们还在2849份先前未知的合约中「发现了两个全新的零日漏洞」。
