智能合約漏洞

ChainCatcher 消息，据 GoPlus 最新報告，2026 年 1 月，Web3 因主要安全事故造成的經濟損失達 4.14 億美元。安全事件類型包括智能合約漏洞、社會工程學攻擊、釣魚攻擊、貔貅盤、Rugpull 等。其中，Exploit（包括合約攻擊，社工欺詐，私鑰洩露等）因 20 起主要事件，造成 3.75 億美元的損失。因釣魚攻擊造成的總損失約 2000 萬美元，受害者人數約 5000 人。當月在 ETH、Base、BSC 監測到新增貔貅代幣（HoneyPot）390 個，相較 12 月有所降低。

ChainCatcher 消息，据 The Block 報導，跨鏈流動性協議 CrossCurve（原名 EYWA）確認其跨鏈橋協議"正遭受攻擊"，原因是其智能合約中的一個漏洞被利用，導致約 300 萬美元資金被跨多個網絡竊取。區塊鏈安全機構 Defimon Alerts 發現，此次攻擊的攻擊途徑是 CrossCurve 的 ReceiverAxelar 合約中的網關驗證繞過漏洞。分析顯示，任何人都可以使用偽造的跨鏈消息調用該合約的 expressExecute 函數，從而繞過預期的網關驗證，並觸發協議 PortalV2 合約上的未經授權的代幣解鎖。該協議由 Curve Finance 創始人 Michael Egorov 支持，此前已融資 700 萬美元。

ChainCatcher 消息，据 Anthropic 發布的前沿紅隊測試結果，AI 代理在模擬區塊鏈環境中識別出多個智能合約漏洞，潛在可被利用金額達 460 萬美元。測試涵蓋合約分析、命令行工具配置、網絡重建、Exploit 生成與驗證等完整流程，並配套推出智能合約安全評估新基準。該研究由 Anthropic、MATS 項目與 Fellows 計劃聯合完成。

ChainCatcher 消息，GoPlus 監測顯示，Web3 因智能合約漏洞、社會工程學攻擊、釣魚攻擊、貔恘盤、Rugpull 等安全事故總損失超 4584 萬美元。其中：GMGN 用戶遭釣魚攻擊，攻擊者偽造第三方代幣網站誘導非授權交易，107 位用戶損失超 70 萬美元；曾獲 CZ 等 KOL 關注的推特帳號改名 @OracleBNB，假冒與 @four_meme_合作發幣，然後 RUG 獲利 34 枚 BNB。

ChainCatcher 消息，据 CrowdFund Insider 報導，安永（EY）宣布為其區塊鏈分析器：智能合約與代幣審查（SC&TR）工具推出新的人工智慧功能，旨在通過更廣泛的代碼覆蓋率增強智能合約漏洞檢測，並簡化合約模擬流程，實現更快速、更穩健的智能合約審查。該 AI 功能允許用戶通過自然語言提示和工具的測試引擎自動化並模擬整個合約審查過程，顯著提高效率。這一功能基於大量現有測試和模擬庫進行訓練，可支持審查人員並提高漏洞檢測能力。自動化使客戶能夠在保持相同資源的情況下實現更高的測試覆蓋率，同時將安永團隊的審查時間減少 50%。安永全球區塊鏈負責人 Paul Brody 表示："為了充分發揮智能合約的真正價值，企業首先需要消除測試過程中耗時且容易忽視漏洞的手動流程。我們的區塊鏈分析器展示了區塊鏈和 AI 如何相互補充，實現流程自動化和改進。"

ChainCatcher 消息，据 The Block 報導，Forta 是一家由 a16z crypto、Coinbase Ventures 和其他投資者支持的 Web3 安全公司，現已推出新產品防火牆，以幫助檢測和防止智能合約漏洞。據悉，該防火牆採用了名為 FORTRESS 的機器學習和人工智能模型，該模型通過檢查交易日誌來分析和檢測高風險交易。Forta 防火牆的商業模式是每月收取固定費用，不過 Beal 拒絕透露具體金額。初始客戶包括 Euler、Plume 和 Balmy。

ChainCatcher 消息，區塊鏈技術公司 ConsenSys 公開發布了用於智能合約測試的"Diligence Fuzzing(模糊測試)"工具。據悉，新工具會生成"隨機且無效的數據點"，以便在合約發布之前發現合約中的漏洞。該新工具過去以封閉測試版本提供，開發人員需要獲得訪問批准。自 8 月 1 日起，不再需要此批准流程。

ChainCatcher 消息，Coinbase 主管 Conor Grogan 發布推文表示，他在 ChatGPT-4 中插入一個實時以太坊智能合約，結果 AI 瞬間找到了安全漏洞，甚至還展示了如何利用這些漏洞進行攻擊。Conor Grogan 補充說，該合約的確在 2018 年被黑客利用漏洞攻擊，此外他還透露也嘗試了 Euler 的智能合約，但由於合約過長而無法被 ChatGPT-4 處理，Conor Grogan 認為，AI 最終將使智能合約更安全、更容易構建。（來源鏈接）

ChainCatcher 消息，派盾（PeckShield）監測顯示，以太坊鬧鐘（Ethereum Alarm Clock）智能合約被利用，允許攻擊者透過設置更高的交易費用，收到比預期更多的 ETH 計價退款，正常情況下調用合約的用戶只會收到略高於其交易費用的回報，目前該漏洞已導致約 204 枚 ETH 被盜取，價值約 26 萬美元。據悉，以太坊鬧鐘智能合約允許用戶透過預先確定接收方地址、發送金額和交易時間來安排未來的交易。（來源鏈接）