过去半年内，至少有3670万美元从代码从未在Etherscan等区块浏览器上公开验证的协议中被盗。攻击者逆向工程原始字节码以发现漏洞，这一趋势因AI辅助漏洞开发而加速。尽管持有大量用户资金，未验证的合约却逃脱了社区审查和漏洞赏金计划，成为有吸引力的目标。关键案例包括Truebit（2620万美元，整数溢出）、Trusted Volumes（590万美元，访问控制）、Aperture Finance（320万美元，输入验证）和Ekubo（140万美元，回调缺陷）。反编译器和LLM的兴起使得自动化大规模漏洞扫描成为可能，为攻击者创造了不对称优势。协议被敦促验证所有合约、扩展漏洞赏金范围并实施实时监控，因为未验证合约正成为主要目标。

关键事实

• 六个月内四个未验证合约被盗3670万美元
• AI辅助反编译实现大规模自动化漏洞狩猎
• 未验证合约缺乏社区监督和漏洞赏金覆盖
• Truebit因未验证债券曲线中的整数溢出损失2620万美元
• 攻击者在已验证和未验证合约间系统性搜寻