网络安全、智能合约审计和最佳实践
查看所有标签
2025 年 12 月,Anthropic 的研究人员将一个 AI 代理指向 405 个现实世界中被利用的智能合约。该代理为其中的 207 个(51%)生成了有效的漏洞利用程序,在模拟资金中窃取了 5.5 亿美元。每次成功利用的成本是多少?仅需 1.22 美元。
这一数据点捕捉到了 2026 年去中心化金融面临的生存危机。2025 年因加密货币黑客攻击损失的 34 亿美元并非源于努力不足——大多数受攻击的协议都经过了审计,有些甚至审计了多次。这是范式的失败。现在,a16z Crypto 提出了一个激进的替代方案:放弃“代码即法律”,拥抱“规范即法律”,通过数学证明的安全属性和实时运行时护栏,使大多数漏洞利用在结构上变得不可能。
ARK Invest 与 Unchained 的一份联合白皮书完成了一项在此规模上无人能及的工作:它对比特币面临量子计算攻击的程度给出了一个精确的数字。答案是 —— 总供应量的 34.6%,按当前价格计算约 2400 亿美元 —— 这一结果既令人警觉又令人欣慰。令人警觉是因为它将此前被视为遥远假设的威胁量化了。令人欣慰是因为报告还表明,剩余 65.4% 的 BTC 安全地处于量子计算机无法破解的加密哈希保护之下,而且该行业可能还有十年的准备时间。
2025 年 12 月 27 日,一名攻击者利用 Flow 执行层的漏洞,铸造了 874 亿枚伪造代币,并在验证者采取紧急措施前,通过跨链桥提取了 390 万美元。随后发生的事情不仅是一次技术复盘——它演变成了区块链历史上最具启发性的治理危机之一,迫使行业直面自 2016 年以太坊 DAO 分叉以来一直回避的问题:当区块链崩溃时,谁有权重写历史?
一名 OpenAI 工程师构建的 AI 智能体意外地向 X 上的一名陌生人发送了价值 450,000 美元的代币,而对方最初只是索要价值 310 美元的 SOL。没有黑客攻击。没有漏洞利用。仅仅是因为一次会话重置、一个缺失的安全防范措施以及一次不可逆转的区块链交易。2026 年 2 月发生的 Lobstar Wilde 事件敲响了警钟:如果自主智能体要处理真金白银,整个行业需要一种根本不同的安全模型。
2026 年 3 月 13 日,MoonPay 给出了答案。其 CLI 钱包现在原生支持 Ledger 硬件签名器 —— 这使得 MoonPay Agents 成为首个在执行链上交易前必须通过物理设备确认的 AI 智能体平台。私钥永远不会接触智能体运行时环境。智能体提议,人类定夺。
在加密货币领域,每一美元被盗都会产生对追踪者的需求。2025 年,犯罪分子通过非法加密货币渠道转移了创纪录的 1,580 亿美元——比前一年激增 145%,创下五年来的最高水平。这个令人震惊的数字解释了为什么帮助政府和企业追踪资金的区块链情报初创公司 TRM Labs 刚刚突破了 10 亿美元的估值门槛。
2026 年 2 月,TRM 宣布完成由 Blockchain Capital 领投的 7,000 万美元 C 轮融资,高盛(Goldman Sachs)、Galaxy Ventures、Bessemer Venture Partners、DRW Venture Capital、Citi Ventures 和 Y Combinator 参投。此次融资使总融资额达到 2.2 亿美元,并使公司估值超过 10 亿美元——在这样一个旨在让犯罪无利可图的行业中获得了独角兽地位。
2025 年 12 月,一次简单的复制粘贴错误让一名加密货币交易员损失了 5,000 万美元。没有智能合约被利用,也没有私钥泄露。受害者仅仅是从交易历史中复制了一个钱包地址 —— 这个地址看起来与真实地址几乎一模一样,但实际上属于攻击者。欢迎来到地址下毒(Address Poisoning),这是 DeFi 领域最阴险且被低估的攻击向量。
埋藏在 Balancer 的智能合约代码中,就在那个最终导致 1.28 亿美元损失的函数上方,写着一行开发者注释:“此舍入的影响预计极小。” 他们错了 —— 错出了九位数。
2025 年 11 月 3 日,一名攻击者利用了 Balancer V2 的 Composable Stable Pools(可组合稳定池)中一个微小的舍入错误,在不到 30 分钟的时间内掏空了九个区块链网络中的资金。这不是一次华丽的重入攻击(reentrancy attack),也不是私钥泄露。这仅仅是算术问题 —— 这种漏洞潜伏在众目睽睽之下,通过了多次审计,并耐心地等待着足够聪明的人将其武器化。
2025 年 2 月 21 日,朝鲜的 Lazarus Group 制造了历史上最大规模的加密货币盗窃案——通过单笔交易从 Bybit 的冷钱包中窃取了价值 15 亿美元的以太坊。一年后,数据揭示了一个令人清醒的事实:虽然区块链分析公司最初追踪到了 88.87% 的被盗资金,但仅有 3.54% 被冻结。其余资金仍存放在数千个钱包中,静静等待。
这不仅仅是一个抢劫故事。这是一个关于国家级黑客行动如何击溃整个行业安全基础设施的案例研究,以及加密货币领域在过去 12 个月里学到了什么——以及未能学到什么。
当 2025 年 1 月一次冒充 Trezor 客服的单次钓鱼电话导致一名投资者损失 2.84 亿美元时——这占当月经调整后加密货币欺诈损失总额的 71% ——人们再也无法将加密货币骗局仅仅视为散户面临的问题。Chainalysis 2026 年度加密货币犯罪报告证实了安全研究人员的担忧:人工智能已使加密货币欺诈实现工业化,其数字令人震惊。