智能合约开发和安全
查看所有标签
如果你进行的每一笔区块链交易——每一次兑换、每一笔支付、每一次 NFT 购买——都被印在广告牌上供全世界观看,会怎样?这就是当今公有链的现实。而 Mysten Labs 刚刚宣布,计划拆除这块广告牌。
Sui Network 正在其 L1 中构建协议级隐私交易,目标是在 2026 年推出。届时,交易细节默认仅对发送方和接收方可见,无需主动开启。如果成功,Sui 将成为第一个在保持合规性的同时,实现默认隐私的主流智能合约平台。这对机构采用、DeFi 以及更广泛的隐私辩论具有巨大意义。
埋藏在 Balancer 的智能合约代码中,就在那个最终导致 1.28 亿美元损失的函数上方,写着一行开发者注释:“此舍入的影响预计极小。” 他们错了 —— 错出了九位数。
2025 年 11 月 3 日,一名攻击者利用了 Balancer V2 的 Composable Stable Pools(可组合稳定池)中一个微小的舍入错误,在不到 30 分钟的时间内掏空了九个区块链网络中的资金。这不是一次华丽的重入攻击(reentrancy attack),也不是私钥泄露。这仅仅是算术问题 —— 这种漏洞潜伏在众目睽睽之下,通过了多次审计,并耐心地等待着足够聪明的人将其武器化。
2026 年 2 月,以太坊域名服务(Ethereum Name Service)做出了一个几乎没有加密项目尝试过的举动:关停了自有的 Layer 2 区块链。在花费数月构建 Namechain —— 一个旨在承载下一代 ENS 基础设施的专用 ZK rollup 之后,团队决定终止该项目,并宣布 ENSv2 将完全在以太坊主网上部署。原因何在?因为以太坊 L1 已经解决了 Namechain 旨在修复的问题。
这一决定不仅重塑了 ENS 的技术路线图,更向整个 L2 生态系统发出了一个共振信号:以太坊曾承诺的以 rollup 为中心的未来,其规模可能远比任何人想象的要小。
每隔几年,就会出现一个不仅是迭代,更是重新定义类别的协议升级。Aave V4 计划于 2026 年初上线主网,凭借其基础架构的彻底改革,其开发者称之为“DeFi 操作系统”。凭借在 13 个区块链上锁定的 244 亿美元总价值,这一占主导地位的借贷协议正押注于统一流动性和模块化市场设计,力求从一个应用转型为基础设施——即所有其他项目构建的基础层。
赌注巨大。V4 的成功发布可以巩固 Aave 在 DeFi 借贷中 62–67% 的市场份额,并为数万亿代币化的现实世界资产开辟路径。一次失误,加上内部治理动荡和日益激烈的竞争环境,可能会在最关键的时刻瓦解生态系统。
仅需 1.22 美元——比一杯咖啡的价格还低——AI 代理现在就可以扫描智能合约,识别其漏洞并生成可用的漏洞利用程序(exploit)。这并非安全白皮书中虚构的理论情景。这是 SCONE-bench 的实测结果,它是首个评估 AI 代理利用真实智能合约能力的基准测试,由 Anthropic 和 MATS Fellows 研究人员于 2025 年底发布。在 2020 年至 2025 年间实际遭到攻击的 405 个合约中,10 个前沿 AI 模型共同为其中的 207 个生成了交钥匙式(turnkey)的漏洞利用,产生的模拟被盗资金总额达 5.501 亿美元。
其影响远远超出了研究实验室。DeFi 协议的总锁仓量(TVL)合计超过 1000 亿美元。如果漏洞利用能力每 1.3 个月翻一番——正如 Anthropic 的数据显示的那样——支撑链上金融的安全假设正在接近拐点。
当你入睡时,一个 AI 代理在凌晨 3 点执行了一笔价值 50,000 美元的收益耕作再平衡交易——而且它从未持有过你的私钥。六个月前,这句话听起来像是科幻小说。而今天,已有超过 25,000 个以太坊钱包升级到了 EIP-7702 智能账户,会话密钥正将自主 DeFi 交易从托管噩梦转变为受限、有时限且可撤销的现实。
三百万美元。这是 AI 智能体已经在链上相互支付的金额 —— 无需发票,无需银行账户,也无需人类点击“批准”。这些交易通过智能体商业协议(Agent Commerce Protocol)结算,Virtuals Protocol 和以太坊基金会的 dAI 团队现已将其提炼为一个单一的以太坊标准:ERC-8183,智能体商业 (Agentic Commerce)。
ERC-8183 于 2026 年 2 月提交,它提出了一个极其简单的原语 —— “任务 (Job)” —— 这可能成为分析师预测到 2030 年将达到 30 万亿美元的自主机器经济的支柱。在 Coinbase、Stripe 和 Circle 都在竞相为 AI 智能体构建支付渠道的背景下,ERC-8183 提出了一个不同的问题:当智能体本身需要相互信任时,会发生什么?
当 AI 代理需要设计 Logo、清理数据集或审计智能合约,且没有人类参与时,会发生什么?直到 2026 年 2 月,答案是:没有标准化的流程。每一次代理对代理(agent-to-agent)的交易都依赖于定制化集成、中心化中介或单纯的信任。ERC-8183 改变了这一点,它为以太坊提供了一个原生的商业层,自主代理可以在链上发布任务、托管资金并验证交付成果,全程无需人类干预。
ERC-8183 由 Virtuals Protocol 和以太坊基金会的 dAI 团队联合开发,它引入了一个单一的原语 —— 任务(Job) —— 用四种状态编码了商业交易的全生命周期。结合用于代理身份的 ERC-8004 和用于 HTTP 原生支付的 x402,它构成了一个由三部分组成的协议栈,有望定义规模达 110 亿美元的代理 AI 经济(agentic AI economy)究竟如何进行交易。
2026 年 3 月 2 日,曼哈顿的一位联邦法官做出了一个将在未来多年内于法庭和代码库中产生回响的决定:她告诉在诈骗代币中蒙受损失的投资者,Uniswap —— 该协议及其创始人以及其风险投资支持者 —— 对他们的损失不承担任何法律责任。此案 Risley v. Universal Navigation Inc. 被不可撤回地驳回(with prejudice),这意味着原告永远无法重新起诉。对于每一位曾部署过开源智能合约并担心自己是否会因陌生人的行为而被告到破产的开发者来说,这一裁决重写了风险评估逻辑。