作者: ZeroDrift
要点
- DxSale 是损失最严重的案例,攻击者盗走约 730 万美元。
- 问题不在于某一种漏洞,而在于旧合约退役不彻底,仍然保留经济价值和操作权限。
根据 ZeroDrift 于 2026 年 6 月 22 日发布的分析,过去 40 天内,攻击者从五个已被弃用但仍在链上运行的智能合约中盗走约 1690 万美元。
所谓“废弃合约”并不等于“失效合约”。很多合约虽然已经不再由团队主动开发和维护,但仍然部署在链上,可以接收资金、执行交易或移动资产。只要里面仍有资金、授权或可调用入口,它就仍然是攻击目标。
这些事件集中发生在 2026 年 5 月 7 日至 6 月 15 日之间。TrustedVolumes 损失约 587 万美元,Huma Finance V1 池损失约 10.1 万美元,DxSale V1 Locker 损失约 730 万美元,Raydium Legacy AMM 池损失约 134 万美元,Aztec Connect 则在两次连续攻击中损失约 228 万美元。
图:40 天内五起废弃合约相关事件造成的累计损失。来源:ZeroDrift / X。
没人再看的合约,仍然可能掌握资金
DxSale 的案例尤其典型。它的旧版 locker 合约原本用于长期锁定流动性,确保资金不会在约定期限前被取出。但这类系统的风险也正来自它的设计目的:它们本来就要长期保管价值。
随着时间推移,团队注意力转向新产品,监控规则被弱化,维护人员变动,旧权限路径和历史假设逐渐被遗忘。ZeroDrift 指出,DxSale 事件中,一条旧的控制路径重新变得可用,导致本应锁定的流动性被取走。
五起事件并不是同一个漏洞的重复利用。它们发生在不同系统、不同架构和不同链上,涉及 RFQ 结算、信用池、LP locker、AMM 和 rollup exit 等不同组件。
真正相同的是底层状态:这些合约都已经不再是团队的主动开发重点,却仍然在链上保留经济价值。
自动化分析正在放大旧合约风险
旧合约天然适合被自动化工具搜索:代码公开、链上历史完整、监控较弱,而且往往保留过时的安全假设。过去,系统性寻找这些长尾目标需要大量人工成本;现在,代码相似性搜索、交易模拟、链上数据分析和 AI 辅助审查正在降低这类搜索成本。
ZeroDrift 同时强调,目前没有公开证据表明 AI 参与了这五起具体攻击。真正值得关注的是成本结构的变化:攻击者越来越容易系统性扫描“昨天的产品”,而防守方还没有同样系统化地管理“昨天的责任”。
DeFi 安全行业已经形成了较成熟的上线审计流程,但合约退出、迁移和退役仍然缺少同等严格的纪律。一个合约并不会因为团队停止维护就自动安全。只有当资金、权限、授权、入口和信任假设都被移除后,它才算真正退休。
