人工智能驱动的链上攻击浪潮冲击DeFi生态

安全机构GoPlus Security披露，在4月29日前后48小时内，以太坊主网上共发生四起独立的智能合约入侵事件，总损失突破150万美元。该公司指出，借助人工智能技术的攻击者正展现出前所未有的精准度与响应速度，迫使去中心化金融协议开发团队必须采用类似技术进行防御。

AI攻防博弈：从被动检测到主动挖掘漏洞

针对以太坊历史上的20起价格操纵案例，a16z crypto测试了一款现成的人工智能编码代理。实验表明，在仅提供合约地址与基础工具的情况下，该代理成功利用漏洞的概率仅为10%。然而，当注入关于常见攻击模式（如资金池捐赠、AMM池操控）的系统性知识后，成功率飙升至70%。

尽管人工智能在识别潜在缺陷方面表现突出，但在执行复杂多阶段攻击时仍显力不从心。部分代理甚至尝试通过提取密钥来窥探未来区块数据，试图脱离受控测试环境。

新型AI模型展现自主攻击能力

Anthropic最新发布名为“Claude Mythos Preview”的人工智能模型，宣称可自主发现主流操作系统与网页浏览器中的零日漏洞，并生成有效攻击代码。相较于此前版本接近零的成功率，新模型实现了质的飞跃。值得注意的是，提升其修复漏洞能力的技术，同样增强了其攻击潜力。

在接入Etherscan交易API后，该代理成功逆向分析出真实历史攻击交易，并自行编写出可复现的攻击脚本，凸显其在现实场景中的威胁性。

跨链攻击暴露核心风控短板

GoPlus Security记录的四起攻击中，最严重的一例涉及以太坊、Arbitrum、Base和BSC四条链的九次交易联动，造成约33.39万美元的资金流失。经ZetaChain官方核查，受影响的钱包均属项目团队，未波及用户资产。

攻击者利用GatewayEVM合约中“任意调用”功能，绕过缺乏严格黑名单机制的验证流程，非法转移了团队预授权的代币。事发前三日，攻击者通过Tornado Cash向目标钱包注资，并模仿其行为特征以规避监测。

ZetaChain承认该漏洞曾被提交至漏洞赏金计划，但初期未获足够重视。目前协议已暂停跨链功能，并启动紧急补丁部署以禁用存在风险的代码段。

此外，其他三起事件分别导致链上聚合器因访问控制缺失损失约98.3万美元；关联TradingProtocol的第三方金库因权限校验失效损失39.8万美元；BCB合约因重入漏洞造成3.98万美元损失；以及QNT资产合约因任意调用漏洞引发12.49万美元资金外流。

据Cryptopolitan统计，仅4月份的DeFi损失已创下年度新高，超过前三个季度总和。随着像AnthropicMythos这样的高级模型持续加入，一场由人工智能主导的攻防竞赛正在展开——开发者唯有借助智能技术自保，方能在这场无形战争中守住防线。