過去一周,三起針對老舊 DeFi 專案的駭客攻擊竊取了約 500 萬美元。
三個被攻擊的項目都是 DeFi 在 2020-2022 年周期中廣為人知的項目,受影響的合約均來自已廢棄、不可更改或不再維護的項目。
這些相似之處讓一些人懷疑,舊合約是否正成為一場集中的、人工智慧輔助的駭客攻擊活動的目標。
Ribbon Finance在復甦計畫上反覆無常
上週五,Aevo(前身為Ribbon Finance)發佈公告,稱其「舊版 Ribbon DOV 保險庫」遭到預言機篡改攻擊,造成 270 萬美元損失。公告同時向 Aevo 用戶保證,他們的帳戶未受影響。
在隨後刪除的一篇貼文中,該團隊宣布了一項計劃,將使用其自有資金 40 萬美元以及來自「休眠」用戶的資產來補償受影響的人。
然而,幾天后,Ribbon 團隊撤回了這項備受爭議的計劃,澄清說受影響的用戶實際上將遭受 100% 的損失。
閱讀更多:儘管重倉 OpenAI 和 Tempus,木頭姐仍被人工智慧的泥潭所迷惑
倒閉的Rari Capital被劫持
Rari Capital 遭受的 200 萬美元駭客攻擊發生在 12 月 10 日,但一週後才被發現。
攻擊者似乎“劫持了實施合約”,得以“無需提供任何抵押品”即可藉入資產。
閱讀更多: LLM加密貨幣交易比賽發現LLM學員無法進行加密貨幣交易
繼2021年和2022年分別遭遇1,500萬美元和8,000萬美元的駭客攻擊後,Rari Capital停止了營運。根據DefiLlama的數據,Rari的合約中仍包含約270萬美元的資金。
該團隊後來在 2024 年 9 月與美國證券交易委員會達成和解,原因是「誤導投資者和從事未註冊的經紀活動」以及未註冊的證券發行。
Yearn Finance:事不過三
週二,一份已有五年歷史的 iEarn Finance(Yearn 的前身)合約遭到攻擊,損失金額約為 25 萬美元。
化名 Yearn 的開發者 Banteg 描述了「配置錯誤的適配器」如何導致「多個 DeFi 協定發生級聯故障」。
閱讀更多: DeFi收益聚合平台Yearn揭露9月yUSND金庫事件
這次駭客攻擊利用了與2023年攻擊相同的漏洞,那次攻擊造成1,100萬美元的損失。 Yearn先前曾在2021年遭到駭客攻擊,損失同樣為1,100萬美元。
除了駭客攻擊之外,Yearn 在 2023 年還遭遇了一次營運事故,由於「重大失誤」損失了 140 萬美元。
上個月,該團隊還披露了其一個金庫故障,Yearn 彌補了資金缺口。
人工智慧輔助的駭客攻擊浪潮?
鑑於 DeFi 協定中智慧合約被駭客攻擊的發生率總體呈下降趨勢,近期的集中攻擊引起了人們的關注。
一位網名為storm0x的安全研究員(也是前Yearn開發者)懷疑有人可能“專門針對舊版合約,甚至可能使用新的工具和LLM?”
他們建議撤銷 2021 年及以後簽訂的「已棄用、已終止或已放棄」的合約。
另一位觀察家也認同storm0x的擔憂。他們認為,人工智慧技術的蓬勃發展,使得原本就技術高超的攻擊者面臨更大的威脅,這可能會在未來幾年給DeFi開發者帶來「極其痛苦」的局面。
他們說:“構建、採樣、測試和利用策略的門檻從未如此之低。”
除了人工智慧支援的駭客攻擊範圍不斷擴大之外,自主人工智慧駭客攻擊未來也可能構成威脅。
Anthropic 最近的一項研究將人工智慧代理與 2020 年至 2025 年間利用的 405 個智慧合約庫進行了比較。
這些人工智慧模型在知識截止後自主地利用已部署的合約漏洞,獲利高達450萬美元。此外,它們還在2849份先前未知的合約中「發現了兩個全新的零日漏洞」。
