智能合约开发和安全
查看所有标签
2026 年 3 月 10 日,34 名 Aave 用户醒来发现,他们原本完全健康的借贷仓位被强制清算了。他们总计损失了约 2690 万美元 —— 这并非因为市场崩盘,也不是因为他们未能管理好风险,而是因为一个配置错误的预言机参数告诉 Aave,封装质押以太坊(wstETH)的价格比其实际市场价格低了 2.85%。在高度杠杆化的 DeFi 借贷领域,2.85% 的差距足以决定是偿付无忧还是遭遇灭顶之灾。
这一事件再次引发了去中心化金融中一个最令人不安的争论:一个依赖单一风险提供商的离线流程来为其抵押品定价、规模达 240 亿美元的借贷协议,究竟有多“去中心化”?
超过 300 万美元的智能体对智能体(agent-to-agent)交易已经在以太坊上发生——没有托管,没有交付验证,一旦出现问题也无法追责。2026 年 3 月 10 日,Virtuals Protocol 和以太坊基金会的 dAI 团队提交了一项提案来解决这一问题:ERC-8183,这是一种新标准,旨在将 AI 智能体之间原始的链上支付转变为可验证、无须信任的商业行为。
这一时机至关重要。智能体 AI(agentic AI)市场预计将从 2025 年的 70 亿美元激增至 2032 年的 930 亿美元。谷歌于 2026 年 1 月推出了其通用商业协议(Universal Commerce Protocol),并获得了 Shopify、沃尔玛、Visa 和万事达卡的支持。Coinbase 的 x402 协议仅在 Solana 上就处理了超过 3500 万笔交易。然而,当两个自主程序试图进行业务往来时,这些系统都没有解决出现的根本性信任问题。
ERC-8183 解决了这个问题——而它的实现方式可能会定义数万亿美元的机器对机器商业最终如何结算。
如果你进行的每一笔区块链交易——每一次兑换、每一笔支付、每一次 NFT 购买——都被印在广告牌上供全世界观看,会怎样?这就是当今公有链的现实。而 Mysten Labs 刚刚宣布,计划拆除这块广告牌。
Sui Network 正在其 L1 中构建协议级隐私交易,目标是在 2026 年推出。届时,交易细节默认仅对发送方和接收方可见,无需主动开启。如果成功,Sui 将成为第一个在保持合规性的同时,实现默认隐私的主流智能合约平台。这对机构采用、DeFi 以及更广泛的隐私辩论具有巨大意义。
埋藏在 Balancer 的智能合约代码中,就在那个最终导致 1.28 亿美元损失的函数上方,写着一行开发者注释:“此舍入的影响预计极小。” 他们错了 —— 错出了九位数。
2025 年 11 月 3 日,一名攻击者利用了 Balancer V2 的 Composable Stable Pools(可组合稳定池)中一个微小的舍入错误,在不到 30 分钟的时间内掏空了九个区块链网络中的资金。这不是一次华丽的重入攻击(reentrancy attack),也不是私钥泄露。这仅仅是算术问题 —— 这种漏洞潜伏在众目睽睽之下,通过了多次审计,并耐心地等待着足够聪明的人将其武器化。
2026 年 2 月,以太坊域名服务(Ethereum Name Service)做出了一个几乎没有加密项目尝试过的举动:关停了自有的 Layer 2 区块链。在花费数月构建 Namechain —— 一个旨在承载下一代 ENS 基础设施的专用 ZK rollup 之后,团队决定终止该项目,并宣布 ENSv2 将完全在以太坊主网上部署。原因何在?因为以太坊 L1 已经解决了 Namechain 旨在修复的问题。
这一决定不仅重塑了 ENS 的技术路线图,更向整个 L2 生态系统发出了一个共振信号:以太坊曾承诺的以 rollup 为中心的未来,其规模可能远比任何人想象的要小。
每隔几年,就会出现一个不仅是迭代,更是重新定义类别的协议升级。Aave V4 计划于 2026 年初上线主网,凭借其基础架构的彻底改革,其开发者称之为“DeFi 操作系统”。凭借在 13 个区块链上锁定的 244 亿美元总价值,这一占主导地位的借贷协议正押注于统一流动性和模块化市场设计,力求从一个应用转型为基础设施——即所有其他项目构建的基础层。
赌注巨大。V4 的成功发布可以巩固 Aave 在 DeFi 借贷中 62–67% 的市场份额,并为数万亿代币化的现实世界资产开辟路径。一次失误,加上内部治理动荡和日益激烈的竞争环境,可能会在最关键的时刻瓦解生态系统。
仅需 1.22 美元——比一杯咖啡的价格还低——AI 代理现在就可以扫描智能合约,识别其漏洞并生成可用的漏洞利用程序(exploit)。这并非安全白皮书中虚构的理论情景。这是 SCONE-bench 的实测结果,它是首个评估 AI 代理利用真实智能合约能力的基准测试,由 Anthropic 和 MATS Fellows 研究人员于 2025 年底发布。在 2020 年至 2025 年间实际遭到攻击的 405 个合约中,10 个前沿 AI 模型共同为其中的 207 个生成了交钥匙式(turnkey)的漏洞利用,产生的模拟被盗资金总额达 5.501 亿美元。
其影响远远超出了研究实验室。DeFi 协议的总锁仓量(TVL)合计超过 1000 亿美元。如果漏洞利用能力每 1.3 个月翻一番——正如 Anthropic 的数据显示的那样——支撑链上金融的安全假设正在接近拐点。
当你入睡时,一个 AI 代理在凌晨 3 点执行了一笔价值 50,000 美元的收益耕作再平衡交易——而且它从未持有过你的私钥。六个月前,这句话听起来像是科幻小说。而今天,已有超过 25,000 个以太坊钱包升级到了 EIP-7702 智能账户,会话密钥正将自主 DeFi 交易从托管噩梦转变为受限、有时限且可撤销的现实。
三百万美元。这是 AI 智能体已经在链上相互支付的金额 —— 无需发票,无需银行账户,也无需人类点击“批准”。这些交易通过智能体商业协议(Agent Commerce Protocol)结算,Virtuals Protocol 和以太坊基金会的 dAI 团队现已将其提炼为一个单一的以太坊标准:ERC-8183,智能体商业 (Agentic Commerce)。
ERC-8183 于 2026 年 2 月提交,它提出了一个极其简单的原语 —— “任务 (Job)” —— 这可能成为分析师预测到 2030 年将达到 30 万亿美元的自主机器经济的支柱。在 Coinbase、Stripe 和 Circle 都在竞相为 AI 智能体构建支付渠道的背景下,ERC-8183 提出了一个不同的问题:当智能体本身需要相互信任时,会发生什么?