Chainalysis报告称，攻击者在过去六个月内从未经验证的智能合约中盗走了至少3670万美元，并将此激增归因于AI辅助的漏洞开发。大语言模型（LLM）现能以人脑无法企及的速度和规模分析反编译的字节码，使闭源合约成为系统性攻击目标。Dedaub、Heimdall和Panoramix等反编译工具将字节码转换为可读的Solidity代码，再输入LLM来标记重入漏洞、访问控制缺陷和算术错误。这种自动化使攻击者能扫描数千份未验证合约，并按可利用性和潜在收益进行排序。最大一起事件是1月8日Truebit遭窃2620万美元，利用的是自2021年未验证合约中的整数溢出漏洞。同一攻击者此前还从Sparkle盗走5 ETH。Anthropic研究也显示，AI可自主利用合约，甚至包括模型知识截止日期后部署的合约。Chainalysis敦促项目方验证所有代码、扩大漏洞赏金范围并采用实时链上监控。

关键事实

• 攻击者6个月内从未验证合约盗走3670万美元。
• AI大语言模型大规模分析反编译字节码，瞄准闭源合约。
• Truebit因2021年未验证合约的整数溢出漏洞损失2620万美元。
• 同一攻击者在Truebit事件前12天从Sparkle盗走5 ETH。
• Chainalysis警告AI辅助攻击将加速。

KeyAudit 数据视角