智能合约开发和安全
查看所有标签
2026 年 3 月 12 日,一笔以太坊交易将 5,040 万美元的 USDT 变成了 327 个 AAVE 代币,价值仅约 3.6 万美元。这次损失并非由黑客攻击、漏洞利用或智能合约漏洞引起。所有涉及的协议——Aave、CoW Swap、SushiSwap——都完全按照设计运行。用户在移动设备上确认了 99.9% 的价格影响警告,勾选了一个复选框,然后在不到 30 秒的时间里眼睁睁地看着近 5,000 万美元蒸发到了 MEV 机器人手中。
这次事件是 DeFi 历史上最昂贵的 UX(用户体验)失败,它迫使人们面对一个令人不安的问题:如果“按设计运行”的无许可系统可以摧毁这么多价值,那么谁该负责阻止它?
2026 年 1 月,在所有区块链上根据 ERC-8004 标准注册的 AI 代理仅有 337 个。到 3 月中旬,这一数字呈爆发式增长,突破了 130,000 个 — 在不到三个月的时间里增长了 39,000%。而领跑这一激增的链并非以太坊,而是 BNB Chain。
在总共约 89,451 个 ERC-8004 代理中,目前有 34,278 个运行在 BNB Smart Chain 上。Base 以 16,549 个位居第二,紧随其后的是以太坊主网,拥有 14,000 多个。多年来定义 DeFi 的等级制度 — 以太坊第一,其他链次之 — 已不再适用于机器经济。
当 85% 的开发者每天使用 AI 编程工具,且 41% 的生产代码由机器生成时,对于任何协议来说,问题不再是“你的文档有多好?”,而是“AI 智能体是否可以在没有人工帮助的情况下使用你的平台进行构建?”
Circle 在 2026 年 3 月 14 日通过发布 Circle Skills 回答了这个问题。这是一个 AI 原生指令的开源包,可让 Cursor、Claude Code、OpenAI Codex 以及任何兼容技能的智能体即时生成可用的稳定币集成。只需一个命令 —— npx skills add circlefin/skills —— AI 助手就可以发送 USDC 支付、进行代币跨链桥接、部署智能合约并管理钱包,而开发者甚至无需打开文档页面。
这是一个小小的安装步骤,却预示着加密协议竞争开发者的方式发生了结构性转变。
一个舍入错误 —— Solidity 整数除法中不足一分钱的精度损失 —— 在不到 30 分钟的时间内,从九个区块链上的 Balancer 中抽走了 1.28 亿美元。这些池子已经运行了数年。代码经过了多次审计。没有人发现它。这就是 2026 年 DeFi 安全的状态:数百亿美元被保护在一个已被证明一再失败的范式之下。
现在 a16z crypto 正在提出一种彻底的反思。在其 2026 年的“大创意”报告中,这家风险投资公司认为,行业必须放弃“代码即法律”(code is law)—— 即已部署的智能合约代码是最终权威的这一基本信念 —— 并将其替换为“规范即法律”(spec is law),即数学定义的安全属性成为可执行的标准。这一转变可能会从根本上重塑协议的构建、审计和防御方式。
没有银行批准这些贷款。没有信贷委员会坐在会议室里衡量风险。然而,到 2026 年 2 月,运行在 14 条区块链上的一组智能合约已产生了超过 1 万亿美元的累计借贷额 —— 这一数字使 Aave 的吞吐量足以与中型国家银行系统相提并论。对于一个在 2017 年以 “ETHLend” 之名推出、仅拥有简单点对点借贷 dApp 的协议来说,这一里程碑不仅具有象征意义。它是结构性的证明,表明去中心化信贷市场已超越了实验阶段,进入了机构级金融基础设施的领域。
比特币持有 1.7 万亿美元的市值,但参与 DeFi 的比例不到 1%。其原因看似简单:每种让 BTC 发挥作用的方法都需要将其交给他人——托管人、跨链桥运营商或多签委员会。2025 年 12 月,Babylon Labs 和 Aave Labs 宣布了一项可能完全改变这一现状的合作伙伴关系。他们的计划是:建立无需信任的金库,在比特币区块链上锁定原生比特币,同时使其在 Aave V4(全球最大的去中心化借贷协议)中作为抵押品。
测试于 2026 年初开始,产品计划于 4 月发布。如果成功,这种集成可以解锁加密货币中最大的单一闲置资金池,用于生产性 DeFi 用途——无需包装、无需跨链桥,也无需信任第三方。
2025 年 12 月,Anthropic 的研究人员将一个 AI 代理指向 405 个现实世界中被利用的智能合约。该代理为其中的 207 个(51%)生成了有效的漏洞利用程序,在模拟资金中窃取了 5.5 亿美元。每次成功利用的成本是多少?仅需 1.22 美元。
这一数据点捕捉到了 2026 年去中心化金融面临的生存危机。2025 年因加密货币黑客攻击损失的 34 亿美元并非源于努力不足——大多数受攻击的协议都经过了审计,有些甚至审计了多次。这是范式的失败。现在,a16z Crypto 提出了一个激进的替代方案:放弃“代码即法律”,拥抱“规范即法律”,通过数学证明的安全属性和实时运行时护栏,使大多数漏洞利用在结构上变得不可能。
2026 年 3 月 10 日,34 名 Aave 用户醒来发现,他们原本完全健康的借贷仓位被强制清算了。他们总计损失了约 2690 万美元 —— 这并非因为市场崩盘,也不是因为他们未能管理好风险,而是因为一个配置错误的预言机参数告诉 Aave,封装质押以太坊(wstETH)的价格比其实际市场价格低了 2.85%。在高度杠杆化的 DeFi 借贷领域,2.85% 的差距足以决定是偿付无忧还是遭遇灭顶之灾。
这一事件再次引发了去中心化金融中一个最令人不安的争论:一个依赖单一风险提供商的离线流程来为其抵押品定价、规模达 240 亿美元的借贷协议,究竟有多“去中心化”?
超过 300 万美元的智能体对智能体(agent-to-agent)交易已经在以太坊上发生——没有托管,没有交付验证,一旦出现问题也无法追责。2026 年 3 月 10 日,Virtuals Protocol 和以太坊基金会的 dAI 团队提交了一项提案来解决这一问题:ERC-8183,这是一种新标准,旨在将 AI 智能体之间原始的链上支付转变为可验证、无须信任的商业行为。
这一时机至关重要。智能体 AI(agentic AI)市场预计将从 2025 年的 70 亿美元激增至 2032 年的 930 亿美元。谷歌于 2026 年 1 月推出了其通用商业协议(Universal Commerce Protocol),并获得了 Shopify、沃尔玛、Visa 和万事达卡的支持。Coinbase 的 x402 协议仅在 Solana 上就处理了超过 3500 万笔交易。然而,当两个自主程序试图进行业务往来时,这些系统都没有解决出现的根本性信任问题。
ERC-8183 解决了这个问题——而它的实现方式可能会定义数万亿美元的机器对机器商业最终如何结算。