未驗證合約

ChainCatcher 消息，据 Chainalysis 報告，過去六個月，至少 3670 萬美元從源代碼未公開驗證的協議中被盜，涉及 Truebit、Trusted Volumes、Aperture Finance 和 Ekubo 等協議。攻擊者通過反編譯原始字節碼來尋找漏洞。AI 輔助的漏洞利用開發正在加速這一趨勢，大語言模型可以規模化識別漏洞模式。Chainalysis 指出，未驗證合約缺乏社區審查，通常被排除在漏洞賞金計劃之外。AI 反編譯和漏洞分析的門檻正在迅速下降，攻擊者可以系統性地掃描數千個未驗證合約。協議應驗證所有合約代碼，審計實際部署的合約，擴大漏洞賞金覆蓋範圍，並實施實時鏈上監控。每個未驗證合約都是自動化掃描的潛在目標，僅靠混淆作為安全措施已不再有效。

ChainCatcher 消息，据 PeckShield 監測，某用戶因早前授權一個未驗證合約而損失 Alchemix 的 Yearn yvVault 頭寸 yvWETH，價值約 100 萬美元。該未驗證合約創建於 10 天前，存在漏洞可被利用執行任意調用。

ChainCatcher 消息，据 CertiK 監測，檢測到與 SynapLogic 相關的未經驗證合約出現 193 筆可疑交易。攻擊者透過重複調用合約函數，使用閃電貸借入 1 枚 ETH 鑄造 16,000 枚 SYP 代幣，隨後歸還 ETH，該操作來自多個新建地址。

ChainCatcher 消息，据市場消息，BSC 上一個未驗證合約（0x93fD192e1CD288F1f5eE0A019429B015016061F9）遭受攻擊，損失約 15 萬美元。BlockSec Phalcon 稱，攻擊源於合約推薦獎勵設計缺陷：獎勵計算依賴可操縱的 BURN/BUSD 交易對現貨價格。

ChainCatcher 消息，CertiK Alert 報告檢測到一起閃電貸攻擊事件。攻擊者利用未驗證合約 0x2d70d62deb1cb9918ff6be7bb5d173e8cd4ad854 中未受保護的 depositBNB() 函數，將 226 個 BNB 兌換成 ADACash，並通過夾層交易獲利。該攻擊涉及金額約 10.8 萬美元。CertiK Alert 稱，0x2d 地址相關資金疑似與 2021 年末至 2022 年初 earnhubBSC 的 rug-pull 事件有關。