Chainalysis：區塊鏈協議六個月內損失 3670 萬，未驗證智能合約成駭客目標

區塊鏈分析公司 Chainalysis 於 6 月 9 日發布報告，記錄 1 月至 5 月間，至少 3,670 萬美元從未在區塊瀏覽器公開驗證原始程式碼的協議中被竊，共涉及 4 起攻擊、5 個協議；攻擊者在所有案例中均透過反編譯原始字節碼（而非閱讀公開原始碼）找到漏洞。

四起攻擊案例：損失金額、日期與已確認漏洞類型

根據 Chainalysis 報告，五個受攻擊協議的確認數據如下：

Truebit：2,620 萬美元，2026 年 1 月 8 日，以太坊；getPurchasePrice() 函數整數溢位（Solidity v0.5.3，該版本缺乏自動溢出保護）

Trusted Volumes：590 萬美元，2026 年 5 月 7 日，以太坊；RFQ 交換代理程式存取控制漏洞

Aperture Finance：320 萬美元，2026 年 1 月 25 日，以太坊；透過 transferFrom 繞過輸入驗證

（來源：Chainalysis）

Ekubo：140 萬美元，2026 年 5 月 5 日，以太坊；回檔邏輯未驗證付款人身份

Chainalysis 確認，上述所有協議的相關合約在攻擊發生時均未在 Etherscan 或其他區塊瀏覽器上驗證，亦無公開關聯的原始程式碼。

Truebit 案例細節：2021 年部署的合約，鏈上記錄顯示系統性攻擊行為

Chainalysis 的 Reactor 圖表分析顯示，發動 Truebit 攻擊（2026 年 1 月 8 日，損失 2,620 萬美元）的攻擊者地址，在十二天前曾從 Sparkle 協議竊取 5 枚 ETH。

報告確認，該地址有系統地在已驗證和未驗證合約中尋找漏洞，從初步小目標逐步升級至最終的大規模攻擊；兩次攻擊所得資金均通過 Tornado Cash 洗錢。Truebit 被攻擊的合約自 2021 年起部署於以太坊，從未在 Etherscan 上驗證原始程式碼。

未驗證合約的三項安全缺口：Chainalysis 確認的防禦失效機制

Chainalysis 報告確認，協議選擇閉源部署時，以下三項傳統安全層次同步失去作用：

白帽研究人員審查失效：無公開可讀原始碼，安全研究人員無法識別和回報漏洞

漏洞賞金計劃排除：未驗證合約通常被主流漏洞賞金計劃明確排除在外

社群驅動回報失效：無原始碼的開放審查環境，社群無法主動識別安全問題

Chainalysis 報告確認，對部署未驗證合約的協議而言，即時鏈上監控是目前唯一能替代上述失效機制的防護手段。

常見問題

未驗證智能合約與已驗證合約的核心安全差異是什麼？

已驗證合約的原始程式碼可在 Etherscan 等區塊瀏覽器公開閱讀，安全研究人員可直接識別漏洞並提交回報。未驗證合約只公開編譯後的字節碼，安全研究人員和攻擊者都需要透過反編譯工具進行逆向工程，且未驗證合約通常被排除在主流漏洞賞金計劃之外。

Chainalysis 記錄的 3,670 萬美元如何與整體 DeFi 被盜情況對比？

根據 Chainalysis 報告，3,670 萬美元是 DeFiLlama 同期記錄的 88 個 DeFi 協議逾 10 億美元總損失中的一個獨立子類別。DeFiLlama 記錄的大多數受攻擊協議擁有已驗證的智能合約，未驗證合約攻擊構成一個獨特的攻擊模式，不應與更廣泛的 DeFi 安全統計直接比較。

Chainalysis 對未驗證合約協議的具體安全建議是什麼？

Chainalysis 報告確認的唯一具體建議是部署即時鏈上監控，以替代傳統安全生態系統在未驗證合約上的失效功能。報告未提供具體的監控工具推薦、實施標準或時程建議。