DeFi 警讯:未经审计的智能合约致使 3670 万美元损失
一份新的 DeFi 安全警讯指出:未经审计的智能合约(unaudited smart contracts)可能因透明度不足而更容易被利用。据称,2026 年上半年仅 6 个月,因未经审计的智能合约发生的漏洞/攻击就造成了 3670 万美元的加密资产损失。
在以太坊(Ethereum)上,攻击者可以部署链上可见的字节码,但通过不在 Etherscan 等区块浏览器完成“合约验证”来隐藏可读源码逻辑。该状态会让用户与自动化工具更难发现后门、类似“地狱/钓鱼合约(honeypot)”的陷阱,或可篡改合约状态并抽走流动性的隐藏函数。
文章还强调“不可变更(immutability)”陷阱:一旦恶意或有缺陷的合约部署完成,基本无法修补。Slither、Mythril、Maian 等安全分析工具在“有源码”时更有效;只审查原始字节码会显著提高漏报漏洞(假阴性)概率。
交易含义:如果在 Etherscan 上没有看到 verified contract 的核验标识,且缺少专业安全审计,就与新 DeFi 代币/协议交互(如提供流动性或交易)风险极高。
关键词提示:本文重点在于未经审计的智能合约(unaudited smart contracts),以及在缺少验证时它们所带来的更高被利用风险。
看跌
这对 DeFi 交易来说是偏 bearish 的风险信号。将损失规模具体量化为 3670 万美元,并指向未经审计的智能合约(unaudited smart contracts),意味着这是“正在发生”的可利用事件,而不是纯理论风险。
从历史经验看,当项目在上线时缺少源码验证、且节奏较快,往往会出现:流动性被迅速撤走、小市值代币价格更易剧烈波动,并在短期内触发“风险规避(risk-off)”,导致资金从新项目撤离。
短期方面,围绕未验证合约的上线与增发,可能出现更大的买卖点差和更快的抛售;在确认审计结果前,做市/挖矿/提供流动性的参与者会减少。长期方面,市场可能更趋于挑选:经过源码验证与独立审计的项目更受青睐,而缺乏透明度的实验型合约会更难获得交易量。
与以往在部署后才被发现 honeypot 或后门的周期相比,本次的共同触发点也是缺少源码验证:这会提高自动化扫描漏报的概率,并让投资者往往只能在资金被转走之后才意识到问题。