Chainalysis：区块链协议六个月内损失3670万，未验证的智能合约成为黑客目标

区块链分析公司 Chainalysis 于 6 月 9 日发布报告，记录 1 月至 5 月间，至少 3,670 万美元从未在区块浏览器公开验证原始代码的协议中被盗，共涉及 4 起攻击、5 个协议；攻击者在所有案例中均通过反编译原始字节码（而非阅读公开原始码）找到漏洞。

四起攻击案例：损失金额、日期与已确认漏洞类型

根据 Chainalysis 报告，五个受攻击协议的确认数据如下：

Truebit：2,620 万美元，2026 年 1 月 8 日，以太坊；getPurchasePrice() 函数整数溢出（Solidity v0.5.3，该版本缺乏自动溢出保护）

Trusted Volumes：590 万美元，2026 年 5 月 7 日，以太坊；RFQ 交易所代理程序存取控制漏洞

Aperture Finance：320 万美元，2026 年 1 月 25 日，以太坊；通过 transferFrom 绕过输入验证

（来源：Chainalysis）

Ekubo：140 万美元，2026 年 5 月 5 日，以太坊；回档逻辑未验证付款人身份

Chainalysis 确认，上述所有协议的相关合约在攻击发生时均未在 Etherscan 或其他区块浏览器上验证，亦无公开关联的原始代码。

Truebit 案例细节：2021 年部署的合约，链上记录显示系统性攻击行为

Chainalysis 的 Reactor 图表分析显示，发起 Truebit 攻击（2026 年 1 月 8 日，损失 2,620 万美元）的攻击者地址，在十二天前曾从 Sparkle 协议窃取 5 枚 ETH。

报告确认，该地址有系统地在已验证和未验证合约中寻找漏洞，从初步小目标逐步升级至最终的大规模攻击；两次攻击所得资金均通过 Tornado Cash 洗钱。Truebit 被攻击的合约自 2021 年起部署于以太坊，从未在 Etherscan 上验证原始代码。

未验证合约的三项安全缺口：Chainalysis 确认的防御失效机制

Chainalysis 报告确认，协议选择闭源部署时，以下三项传统安全层次同步失去作用：

白帽研究人员审查失效：无公开可读原始码，安全研究人员无法识别和回报漏洞

漏洞赏金计划排除：未验证合约通常被主流漏洞赏金计划明确排除在外

社群驱动回报失效：无原始码的开放审查环境，社群无法主动识别安全问题

Chainalysis 报告确认，对于部署未验证合约的协议而言，即时链上监控是目前唯一能替代上述失效机制的防护手段。

常见问题

未验证智能合约与已验证合约的核心安全差异是什么？

已验证合约的原始代码可在 Etherscan 等区块浏览器公开阅读，安全研究人员可直接识别漏洞并提交回报。未验证合约只公开编译后的字节码，安全研究人员和攻击者都需要通过反编译工具进行逆向工程，且未验证合约通常被排除在主流漏洞赏金计划之外。

Chainalysis 记录的 3,670 万美元如何与整体 DeFi 被盗情况对比？

根据 Chainalysis 报告，3,670 万美元是 DeFiLlama 同期记录的 88 个 DeFi 协议逾 10 亿美元总损失中的一个独立子类别。DeFiLlama 记录的大多数受攻击协议拥有已验证的智能合约，未验证合约攻击构成一个独特的攻击模式，不应与更广泛的 DeFi 安全统计直接比较。

Chainalysis 对未验证合约协议的具体安全建议是什么？

Chainalysis 报告确认的唯一具体建议是部署即时链上监控，以替代传统安全生态系统在未验证合约上的失效功能。报告未提供具体的监控工具推荐、实施标准或时程建议。