在接受 BeInCrypto 采访时,Movement Labs 联合创始人 Cooper Scanlon 警告了区块链基础设施中的漏洞,特别是传统智能合约(如 ETH)中的缺陷。他强调这些弱点是对全球金融未来的严重威胁。
他的评论是在加密货币行业面临欺诈和攻击事件增加,造成巨大损失并降低该领域信心的背景下提出的。
Movement Labs 联合创始人分享智能合约风险
Scanlon 指出,2024 年智能合约漏洞造成了数十亿美元的损失。根据 SolidityScan 的数据,2024 年加密货币攻击事件达到 14 亿美元,涉及 149 起独立事件。
2024 年加密货币攻击造成的损失。来源: SolidityScan事实上,今年加密货币社区经历了有史以来最大规模的攻击之一,Bybit 遭到黑客攻击,损失 15 亿美元,主要是 ETH。黑客利用一个交易签名漏洞,绕过钱包安全措施进行了非法提款交易。
此外,3 月初,去中心化交易所(DEX) 1INCH 也遇到了严重事故,源于 Fusion v1 resolver 智能合约的漏洞,进一步说明了这些漏洞给该领域带来的困扰。
Scanlon 强调,这些事件并非渐进式下降,而是在几秒钟内造成毁灭性损失。考虑到区块链与传统金融系统日益深入的整合,情况变得更加严峻。
"如果金融机构将智能合约集成到支付系统和资本市场,而不解决这些潜在缺陷,我们就会增加更广泛系统的风险,"他告诉 BeInCrypto。
联合创始人还强调了一个危险的错误观念,即成功的智能合约审计可确保安全。Scanlon 表示,审计只能发现一小部分潜在漏洞,常常忽视更复杂的攻击向量。
此外,他强调这些攻击事件每天都在发生。他指出,在过去两个月内发现了三个重大的重入漏洞。他警告说,这些事件并非孤立发生,而是反映了更深层的架构缺陷。
"如果继续在 ETH 上使用 Solidity 代码进行开发,随着区块链应用的增加,这些威胁在未来五年内可能会恶化。与传统金融的更大整合意味着更有价值的目标,而日益增加的复杂性则创造了更多攻击面,"Scanlon 评论道。
重入漏洞是智能合约中的一个漏洞,合约外部调用可能在初始执行完成前再次调用合约。这允许攻击者重复执行一个功能,可能会导致资金被耗尽或合约被操纵。著名的例子是 2016 年的 DAO 攻击。
Movement Labs 联合创始人还提到了 Kyber 攻击,作为一个简单的整数溢出错误如何导致灾难性后果的例子。但他承认,实际上没有开发人员或审计人员能够在成千上万行 Solidity 代码中精确地识别如此细节的漏洞。Scanlon 认为,任何传统协议都伴有这些固有风险。
"当大银行、支付处理商和交易所建立在这些系统之上时,过去只影响加密货币爱好者的漏洞现在威胁到了更广泛的金融生态系统,"他强调。
为了解决这些风险,他相信解决方案在于超越过时的架构,采用更安全的现代设计。他将注意力转向了 Movement Labs 使用的 Move 编程语言。
Scanlon 解释说,Move 通过面向资源的设计和正式验证来消除常见的漏洞。他认为 Move 专门设计用于防止所有类型的漏洞。
"Move 代表了相比现有智能合约平台的革命性进步,"Scanlon 表示支持。
智能合约与金融系统:整合之路
面对这些风险,Scanlon 认为区块链网络需要标准化的安全协议。但他强调,传统模式不能直接应用。
他指出,在整合去中心化系统之前,金融机构必须理解区块链带来的独特安全挑战。
"金融机构想要整合去中心化系统,必须认识到区块链交易是不可逆的。这意味着在区块链上,攻击通常无法逆转。这一基本差异要求完全重新思考风险管理,但也突出了去中心化技术的独特价值,"Scanlon 向 BeInCrypto 透露。
Scanlon 也强调了制定监管方法的必要性。他指出,传统金融和去中心化系统不再是独立的领域 - 它们正日益融合。
然而,他指出,目前大多数法律框架仍基于过时的关切。它们主要集中在诸如了解您的客户(KYC)和反洗钱(AML)合规以及投资者保护等传统问题上。
Scanlon警告说,这些法律框架忽视了可能导致区块链生态系统出现系统性故障的更深层次的技术风险。他认为,该行业需要更多的明确性。
"政府应该努力建立明确的区块链法律,以使创新者和开发者有资源和信心来安全、安全地开发链和应用程序,"Scanlon评论道。
他主张应该集中精力创造一个可以发展安全创新的环境,而不是对所有人施加通用标准。
为什么人性心理推动了骗局的成功
除了解决智能合约基础设施中的漏洞外,Scanlon还讨论了社交媒体上流行的 meme 币欺骗行为的增加。最近,许多 名人、行业专家和 政治领导人已被攻击,他们的 X 账户被接管以推广欺骗性代币。
Scanlon解释说,这些事件正在增加,因为涉及不对称回报。骗子只需最小的技术努力就可以获得可观的利润。
"这些社会工程攻击从根本上不同于智能合约漏洞。它们利用人性心理,而不是代码缺陷,"Scanlon告诉 BeInCrypto。
为了应对这些威胁,Scanlon强调社交媒体平台需要更复杂的检测系统来识别被入侵的账户并阻止欺骗性宣传。他还呼吁改善链上分析,以在它们变得强大之前检测和标记可疑的代币合约。
他强调 提高资源以验证项目合法性的重要性。此外,他建议协议应该整合更强大的验证措施。
Scanlon得出结论说,长期解决方案在于提高技术。他强调需要在各个层面上开发一个以安全为中心的生态系统,从代码设计到用户体验。Scanlon声称社区应该是首要任务。因此,保护社区免受这些威胁是最重要的。
