去中心化金融(DeFi)领域近来遭遇了一波安全事件的冲击。如今,智能合约审计领域的先驱人物之一更是直接宣布:整个 DeFi 空间已不再安全。这一观点由 OpenZeppelin 联合创始人 Manuel Aráoz 在 X 平台上公开发表。他甚至在私底下建议亲友退出所有 DeFi 仓位,其中甚至包括被许多人视为低风险“蓝筹股”的 Aave、MakerDAO 和 Compound。
Aráoz 指出,人工智能(AI)的突飞猛进是导致 DeFi 应用可靠性与信任度发生根本性转变的核心原因。“代码智能体(Coding agents)在寻找漏洞方面已经达到了超人(superhuman)的水平,而智能合约的安全性存在极大的不对称性:防御者需要修复每一个漏洞,而攻击者只需要利用一个漏洞就能窃取资金,”他解释道。去年年底,Anthropic 发布的数据就已经表明,AI Agent 在发现并潜在利用加密智能合约漏洞方面的能力已大幅提升。在那个阶段,这些进展主要还集中在人类已经识别出的问题上。
然而,今年随着 Anthropic 推出 Mythos 模型,情况发生了根本性转变。该系统功能极其强大,以至于 Anthropic 对其施加了严格的限制,仅向极少数合作伙伴开放。据 Anthropic 透露,Mythos 已经在一些于生产环境中运行了数十年、且从未有人发现任何瑕疵的软件中,挖掘出了关键性漏洞。鉴于其对加密货币安全领域的重大影响,据报道,包括 Coinbase 在内的交易平台已经联系了 Anthropic,希望能获取 Mythos 的访问权限。
正如 Aráoz 所言,去年发生的一起重大 DeFi 黑客攻击事件曾让整个行业背脊发凉,因为该事件击中了一个在真实环境中运行多年、通过了多次审计且声誉极佳的智能合约漏洞。那场涉及 1.2 亿美元的漏洞利用事件,其演变过程甚至让人联想到了电影《办公空间》(Office Space)中那种“从小钱中抠出巨款”的秘密侵占计划。
近期,今年四月成为了有记录以来加密黑客攻击数量最糟糕的一个月,安全事件几乎以每天一起的速度发生。尽管朝鲜在上个月罕见地否认参与,但今年通过这些攻击窃取的大部分资金都与其有关。就在上周末,稳定币发行商 StablR 也遭遇了系统入侵。该系统的铸币机制依赖于一个“3分之1”的多签名钱包(这意味着单个私钥即可批准行动),攻击者控制了其中一个私钥,将自己添加为管理员,移除了合法的运营者,并凭空铸造了约 1350 万美元的无抵押稳定币。随后,他们在去中心化交易所兑换了这些代币,最终卷走了约 1115 个以太坊(当时价值接近 300 万美元)。
正如 StablR 事件所表明的那样,现实情况是并非所有的黑客攻击都源于智能合约的 bug。即使在最先进的协议中,社会工程学和中心化的攻击媒介也往往起到了决定性的作用。
【AgentUpdate 深度解析】本次安全警告揭示了 AI Agent 时代网络攻防的残酷真相:技术的不对称性正在被 AI 呈指数级放大。传统的静态代码审计在能够进行多维逻辑推理的 AI 智能体面前已形同虚设。横向对比当前技术,Anthropic Mythos 展现出的“超人”级漏洞挖掘力,迫使 AI Agent 生态必须加速从“生产力效率工具”向“自治安全防御体(Autonomous Defense Agents)”转型。未来的安全生态将不再依赖周期性的人工审计,而是演变为攻击型 Agent 与防御型 Agent 之间的毫秒级实时对抗。这也为 AI Agent 开发者提出了全新命题:如何构建具备实时自我修复、动态威胁隔离的“主动防御智能体”,将成为决定未来去中心化架构生死存亡的关键。
