loading...
区块链基础设施协议Truebit因智能合约设计缺陷遭受约2600万美元规模的攻击。此次黑客事件导致Truebit代币在一天内暴跌近99%,近乎全面崩盘。
问题出在Truebit的"Purchase"智能合约中。区块链安全公司SlowMist在事故分析报告中指出,合约存在结构性缺陷,使得攻击者几乎无需支付以太坊即可大量铸造TRU代币。报告称,根本原因在于整数加法运算缺乏溢出保护功能。
Truebit使用的Solidity 0.6.10版本是缺乏整数溢出基础防护机制的旧版本。当计算值超过设定上限时,数值会"回绕"至接近零的极小值。攻击者正是利用这一点,使合约中的TRU价格被计算为"零",从而几乎免费地铸造了大量代币。
Truebit于2021年4月部署在以太坊主网,是一个运营时间较长的协议。即便如此仍存在如此致命的漏洞,这印证了智能合约安全仍是区块链行业的薄弱环节。
据SlowMist数据,2025年加密货币行业发生的安全事件中,有30.5%是利用智能合约技术漏洞进行的攻击,占比最高。其次是账户盗用(24%)和私钥泄露(8.5%)。
与此同时,通过人工智能攻击智能合约的可能性正在成为现实。某AI公司通过测试证明,其模型能够检测出总计价值约460万美元的智能合约漏洞,并可构建攻击方案。
除了技术性威胁,利用人为疏忽的"网络钓鱼"诈骗也在迅速增加。安全平台CertiK表示,2025年因网络钓鱼造成的损失总额高达约7.22亿美元。在全部248起事件中,相当一部分是通过诱导点击链接导致钱包私钥或恢复代码泄露。
值得庆幸的是,风险意识也在逐步提升。网络钓鱼损失金额较2024年下降了38%,这表明部分投资者的安全意识有所增强。
Truebit事件不仅仅是一个协议的失败,它再次提醒我们,即便是长期运营的服务也可能存在根本性的安全漏洞。围绕智能合约技术审查和安全强化的讨论预计将更加激烈。
这一事件展示的不仅是一行代码的错误,而是足以摧毁整个项目的真实风险。尤其在AI攻击智能合约代码的可能性日益显现的当下,超越简单的"代币买卖",理解系统如何运作已成为生存的必备策略。
974
1003
