跳到主要内容

1.22 美元的黑客攻击:Ledger CTO 表示 AI 已破坏加密安全经济学

· 阅读需 15 分钟
Dora Noda
Dora Noda
Software Engineer

生成一个有效的智能合约漏洞利用程序的 API 额度成本现在仅需约 1.22 美元。这个数字由 Anthropic 的红队在 2025 年底披露,并得到了一个学术漏洞生成器的证实(该生成器在每次攻击中最高可窃取 859 万美元)。这就是 Ledger 首席技术官 Charles Guillemet 在 2026 年 4 月 5 日发出警告的背景:人工智能并没有攻破密码学,它正在打破加密货币安全的经济模型,而该行业传统的防御体系从未针对这种局面进行过定价。

如果说 2024 年是 AI 重写了开发者交付代码方式的一年,那么 2026 年就是它重写了攻击者交付漏洞利用程序方式的一年。这种不对称性翻转得如此之快,以至于即使是那些花费十年时间构建硬件钱包的公司,现在也在质疑整个信任模型是否需要重写。

Guillemet 究竟说了什么

Guillemet 作为 Ledger 的首席技术官和资深的硬件安全研究员,在 4 月初的公开演讲中提出了一个令人不安的论点。加密货币的攻击成本曲线正在崩塌,因为大语言模型已经足够胜任攻击者工作中难度最大的部分:阅读陌生的 Solidity 代码、推理状态机、生成合理的攻击交易,并针对链上分叉进行迭代,直到找到可行方案。

他的切入点刻意选在了经济层面。今天的密码学并不比 2024 年更脆弱。哈希函数依然在哈希,椭圆曲线依然在弯曲。改变的是成功攻击背后的劳动力投入——资深审计师的敏锐观察、长达数月的耐心逆向工程——现在已被压缩到了单张 Anthropic 或 OpenAI 发票中的一个预算条目内。“我们将产生大量在设计上就不安全的代码,”Guillemet 警告说,他指出了开发者发布 AI 生成的 Solidity 代码的速度超过了审查者阅读速度的二阶效应。

Ledger 统计的去年损失约为 14 亿美元,这仅是可直接归因于黑客攻击和漏洞利用的部分,而如果算上更广泛的诈骗和欺诈总额,这一数字还会高得多,具体取决于你采用谁的统计口径。Chainalysis 将 2025 年的总被盗资金定为 34 亿美元。CoinDesk 的 2026 年 1 月回顾则估计,更广泛的诈骗和冒充行为涉及的金额高达 170 亿美元。无论你相信哪个数据,趋势线都在向错误的方向发展,而 Guillemet 的观点是,这一轨迹现在已经是由 AI 塑造的了。

改变对话局面的 Anthropic 数据

2025 年 12 月,Anthropic 自己的红队发布了 SCONE-bench 的结果——这是一个针对 2020 年至 2025 年间实际被攻击过的 405 个智能合约的基准测试。标题数据非常直观:在所有 405 个问题中,现代前沿模型为其中的 207 个生成了即插即用的漏洞利用程序,命中率达 51.11%,模拟被盗价值总计 5.501 亿美元。

更令人不安的是,当同样的智能体被指向 2,849 个没有任何已知漏洞的新部署合约时,Claude Sonnet 4.5 和 GPT-5 发现了两个真实的零日漏洞,并生成了价值 3,694 美元的有效攻击程序——而 API 成本仅约为 3,476 美元。从纸面上看,这个比例勉强达到盈亏平衡,但它打破了“零日漏洞发现需要人类团队”的假设。

独立的学术研究也从另一个角度印证了这一点。于 2025 年在 arXiv 上发表并持续更新至 2026 年初的“A1”系统,将任何大语言模型(LLM)与六种特定领域的工具(字节码反汇编器、分叉执行器、余额追踪器、Gas 分析器、预言机欺骗器和状态突变器)打包在一起,并将其指向目标合约。A1 在 VERITE 漏洞利用数据集上的成功率达到了 62.96%,以巨大优势击败了之前的模糊测试基准(ItyFuzz,37.03%)。单次尝试的成本在 0.01 美元到 3.59 美元之间。其模拟出的最大单笔获利达到了 859 万美元。

这些不是理论数字,而是攻击的投入成本。一旦投入成本降到一份快餐的价格,问题就不再是“攻击者是否负担得起”,而是“防御者能否承受任何一丝疏漏”。

1000:1 的吞吐量错配

这是审计机构仍在努力表达的现状。审计师按项目收费。他们一次只审查一个代码库,通常耗时数周,而且他们的 AI 工具(如果有使用的话)也是嵌套在以人类为主导的工作流中,并以此开具账单。相比之下,攻击者可以租用同样的模型,并行地指向数千个合约,并且只有在成功时才产生成本。

2026 年初《区块链前沿》(Frontiers in Blockchain)的一篇论文用一句话描述了这种不对称性:攻击者在大约 6,000 美元的可提取价值下就能盈利,而防御者的盈亏平衡点则接近 60,000 美元。这 10 倍的差距并非因为防御在技术上更难,而是因为防御必须做到万无一失,而进攻只需要成功一次

将这一点与规模上的错配相结合——假设攻击者可以扫描的合约与审计机构可以审查的合约比例为 1000:1——你就会几乎像机械推导一样得出 Guillemet 的结论。没有任何审计预算能够填补这一鸿沟。从经济学角度来看,这根本行不通。

2026 年的重大安全事件告诉了我们什么

2026 年实际发生的黑客攻击在表面上并不完全像是“AI 漏洞利用”故事。今年迄今为止最大的两起损失清醒地提醒我们,大语言模型(LLM)辅助的攻击工具是建立在更古老、更乏味的技术之上的。

2026 年 4 月 1 日,Solana 上的 Drift Protocol 损失了 2.85 亿美元——超过其 TVL 的一半。TRM Labs 和 Elliptic 均将此归咎于朝鲜的 Lazarus Group。其攻击机制是社会工程学,而非 Solidity 漏洞。攻击者花了几个月时间与 Drift 团队建立关系,然后利用 Solana 的“持久性 Nonce”(durable nonce)功能,诱使安全委员会成员预先签署了他们并不理解其后果的交易。一旦管理权限发生转移,攻击者便将一种毫无价值的代币(CVT)列入抵押品白名单,并利用它提取了真实的 USDC、SOL 和 ETH。

18 天后,Kelp DAO 通过其由 LayerZero 支持的跨链桥遭受了 2.92 亿美元的打击——这是 2026 年迄今为止最大的 DeFi 漏洞利用事件。攻击者让 LayerZero 的跨链消息层相信,一条有效的指令已从另一个网络传达,随后 Kelp 的跨链桥尽职地向攻击者控制的地址释放了 116,500 枚 rsETH。根据大多数归因分析,这又是 Lazarus 所为。

这与 AI 有什么关系?有两点。首先,使长线社会工程学成为可能的“侦察”工作——包括个人资料映射、语气匹配、在目标的日程表中选择正确时机——正是大语言模型所擅长的。CertiK 的 2026 年预测已将网络钓鱼、深度伪造(Deepfakes)和供应链攻击列为当年的主要攻击媒介,并指出仅从 2025 年 12 月到 2026 年 1 月,网络钓鱼损失就激增了 207%。其次,AI 降低了“并行”操作的门槛:在 2024 年,一个 Lazarus 级别的团队一次只能运行几个活动;而有了 AI 工具,一个规模更小的团队就能同时运行几十个。

2026 年 4 月,热门钱包应用 Zerion 披露攻击者利用 AI 驱动的社会工程学从其热钱包中盗取了约 10 万美元,这让我们看到了这种攻击可以细化到何种程度。以 2026 年的标准衡量,这个数字并不大。但这种技术——AI 生成冒充脚本、AI 生成虚假支持页面、AI 生成钓鱼邮件——正是 Guillemet 所警告的。

为什么“加强审计”不是答案

行业本能的反应是资助更多的审计。但这种反应忽略了问题的本质。

审计规模随审计师的工时线性增长。而现在的攻击规模随 API 额度增长。即使每一家一线审计公司明天都将员工人数增加一倍,攻击者的攻击面仍会以 10 倍的速度增长,因为任何拥有 API 密钥并对 Solidity 有基本了解的人,现在都可以在整个已部署的合约生态中运行持续的攻击性扫描。

更糟糕的是,审计只是对某一时刻的代码进行审查。而 AI 生成的代码正在持续交付。Guillemet 的“架构设计不安全”警告表明,漏洞引入率正在上升,而非下降。区块链安全社区引用的一项 2026 年研究发现,大语言模型辅助生成的 Solidity 代码与细微的重入漏洞和访问控制错误之间存在相关性。人类审查员在阅读机器格式化的代码时容易感到疲劳,从而漏掉这些错误的概率比漏掉人类编写代码中相同错误的概率更高。

坦诚地说,审计仍然是必要的,但已不再充分。Guillemet 推崇的——以及 Anthropic 自己的红队所呼应的——实际答案是结构性的。

能够在这场危机中幸存的防御栈

有三类防御措施能够在 AI 加速的攻击面前保持扩展性,而这三类措施对于那些为了追求交付速度而进行优化的行业部分来说,都并不轻松。

形式化验证。 像 Certora、Halmos 以及 Move (Sui, Aptos) 和 Cairo (Starknet) 中日益集成的验证栈,将正确性视为数学问题而非审查问题。如果一个属性被证明是正确的,那么再多的 AI 模糊测试 (Fuzzing) 也无法破坏它。权衡之处在于工程成本:编写有意义的不变量 (Invariants) 既困难、缓慢又极其严苛。但这是极少数其防御成本不会随攻击者算力增加而扩展的防御措施之一。

硬件信任根。 Ledger 自己的产品线是一个明显的例子,但更广泛的类别还包括安全飞地 (Secure Enclaves)、MPC 托管以及新兴的零知识证明原语。其原理是相同的:将最重要的操作——签署交易——强行通过一个大语言模型驱动的网络钓鱼活动无法触及的底层介质。Guillemet “假设系统可以且将会失败”的理念,实质上是在论证将签名权从通用计算机中转移出去的必要性。

AI 对抗 AI 的防御。 Anthropic 在 2025 年 12 月发布的白皮书中提出,能够生成漏洞利用程序的智能体也应该被部署用来生成补丁。在实践中,这意味着利用 AI 对内存池 (Mempools)、已部署合约和管理员密钥行为进行持续监控——像传统银行业的欺诈检测系统一样标记异常。虽然经济模型并不完美(防御者的成本仍然高于攻击者),但它们至少让双方处于相同的算力曲线之上。

这三种防御措施的共同点是:停止在安全的“快速”环节依赖人工参与,而将人类的判断保留给缓慢、昂贵且具结构性的环节。

对当前开发者而言这意味着什么

对于在 2026 年交付产品的团队来说,Guillemet 的警告转化为了几个具体的转变:

  • 默认将 AI 生成的代码视为不可信。 在代码触达主网(Mainnet)之前,无论其看起来多么整洁,都必须通过形式化验证(Formal Verification)或基于属性的测试(Property-based Testing)。
  • 将管理员密钥移至硬件设备中。 对于资金库级别的合约,使用带有热签名者的多签(Multi-sig)已不再是可接受的安全姿态;Drift 事件证明了即使是“受信任”的团队成员也可能受到社会工程攻击,从而预签名破坏性交易。
  • 假设你的网络钓鱼攻击面比代码攻击面更大。 Zerion 的资金被窃取(10 万美元)以及更广泛的 207% 网络钓鱼增长表明,攻击者投入成本最低且收益最高的目标仍然是人,而非 Solidity 代码。
  • 为持续、自动化的监控预留预算。 面对 24/7 全天候运行 SCONE-bench 级别工具的攻击者,每周一次的审计频率已无法形成有效防御。

这些都不是新想法。改变的是紧迫性曲线。在 LLM 出现之前的时代,如果一个组织在其他方面表现强劲,即使在其中一个领域存在疏忽也能生存下来。但在 2026 年,这种松懈带来的成本不对称性实在太高了。

坦率的解读

人们很容易将 Guillemet 的警告解读为 Ledger 的自卖自夸 —— 硬件钱包供应商自然会支持硬件方案。但这种解读将是一个错误。Anthropic 的红队、A1 和 SCONE-bench 背后的学术团体、CertiK 的 2026 年预测,以及监测每月黑客攻击总量的链上分析公司,都独立得出了同样的结论。行业共识正趋向于一点:实施一次有效攻击的成本已经下降了一到两个数量级,防御栈必须相应地做出调整。

真正新颖的是,这是自 2020 年初 DeFi 之夏审计需求浪潮以来,加密安全领域发生的第一次重大非对称转变。那一波浪潮产生了一代审计公司、漏洞赏金平台和形式化验证初创公司。而 2026 年的浪潮将产生另一些东西:持续的 AI 监控基础设施、默认的硬件根签名,以及对任何安全模型仍依赖于“我们会在审计中发现问题”的合约更加严苛的质疑。

Guillemet 提到的 1.22 美元这个数字 —— 即使该确切数字来自 Anthropic 而非 Ledger —— 也是那种会终结一个时代的统计数据。它终结的是攻击者劳动力是瓶颈的时代。它开启的是另一个时代,在这个时代,瓶颈变成了防御者尚未实现自动化的任何环节。

BlockEden.xyz 经营涵盖 Sui、Aptos、Ethereum、Solana 以及 20 多个其他网络的区块链 RPC 和索引基础设施,并在请求路径中内置了 AI 辅助的异常监控。如果你正在针对后 LLM 威胁格局重构安全姿态,请 探索我们的基础设施服务联系我们 探讨为你协议提供的持续监控方案。

资料来源

Share on Twitter