据 Woofun AI 消息，2026 年 5 月 7 日至 6 月 15 日期间，攻击者从五个已弃用但仍在运行的智能合约中盗走近 1690 万美元。TrustedVolumes 损失约 587 万美元，DxSale V1 Locker 损失约 730 万美元，Raydium Legacy AMM 池损失约 134 万美元，Aztec Connect 在两次连续攻击中损失约 228 万美元，Huma Finance V1 池损失约 10.1 万美元。

DxSale 案例揭示了深层逻辑漏洞，其旧版 locker 合约因一条陈旧控制路径意外激活，导致本应锁定的流动性被非法转移。这五起事件并非单一漏洞的重复利用，而是横跨不同系统架构与区块链网络，分别涉及 RFQ 结算、信用池、LP locker、AMM 及 rollup exit 等核心组件。

值得注意的是，这些合约虽已非团队开发重心，却仍承载着巨额经济价值，成为攻击者的首选目标。

Woofun AI 整理数据显示，此类旧合约因代码公开、链上历史完整且监控薄弱，天然契合自动化工具的搜索特征。随着代码相似性搜索、交易模拟、链上数据分析及 AI 辅助审查技术的演进，系统性挖掘这类长尾目标的成本正显著降低。

尽管目前尚无公开证据表明 AI 直接参与了这五起具体攻击，但攻击者扫描"昨天的产品"的能力正在指数级增强。

当前行业在合约退出、迁移和退役方面的管理纪律仍显不足，导致大量废弃合约沦为安全盲区。当防守方未能及时切断旧合约的资金通道，而攻击手段却日益自动化时，这种不对称性将引发更多类似事件。这是继早期 DeFi 漏洞爆发后，Web3 基础设施面临的新一轮系统性治理挑战。