审计固然重要,但并非万能。这是区块链数据分析平台 Sentora 最近发布的一条推文直白地指出的问题,推文还附有一张柱状图,详细列出了 DeFi 黑客攻击和漏洞利用造成的数十亿美元损失。数据涵盖 2020 年至 2025 年(不包括Terra崩盘),并揭示了一个令人不安的事实:即使是那些付费进行安全审查的项目,也难逃巨额损失。
Sentora 写道:“审计对 DeFi 至关重要,但并非万无一失。2020 年至 2025 年间,经审计的项目损失超过 33 亿美元,主要原因是资金外流、私钥泄露和审计后变更。DeFi 审计是基础,但有效的风险管理仍然需要对风险进行积极监控。”
随附的图表按审计师对损失进行了排序,显示未经审计的项目遭受的损失最大,大约在 50 亿美元左右,但同时也显示,经过审计的项目以及像 Certik、NCC Group 和 Trail of Bits 这样的知名公司也远非幸免。
分层问题
综合来看,这些图表和Sentora的总结勾勒出一个错综复杂的问题。一方面显而易见:那些跳过审计或偷工减料的项目最终付出了代价。另一方面,同样重要的是,审计本身只是快照,通常是在最后一刻的代码修改、治理变更或引入新的管理员密钥之前进行的。
这些审计后的修改,加上窃取私钥的社会工程攻击和内部人员的恶意撤资,造成了Sentora在审计项目中标记的33亿美元损失中的很大一部分。图表还突出显示了一个中间类别,即被归类为“其他(68)”的大量小型审计机构,它们加起来也造成了相当大的损失。
这表明,问题不仅在于项目是否经过审计,还在于审计的质量和全面性、审计员的工作范围,以及报告发布后的后续工作。如果审计遗漏了关键的设计假设,或者审计团队忽视了建议的缓解措施,就会留下后患。
安全从业人员多年来一直强调,单次审计应该被视为安全计划的起点,而非终点。持续监控、分阶段部署、多重签名控制、特权函数的时间锁定、主动漏洞赏金计划以及保险产品,都是构建更具弹性的安全策略的组成部分。
Sentora 的信息强调,审计只是设定了最低标准,团队和投资者必须层层叠加保护措施并持续监控。对于一个重视可组合性和快速迭代的 DeFi 生态系统而言,这种矛盾是真实存在的。开发者希望快速发布功能并迅速调整方向;审计人员需要足够的时间和精力进行全面彻底的审计;而攻击者则会伺机利用两者之间的短暂空隙。
数据得出的结论既简单又令人不安;审计支出仍然是必要的,但如果社会想要切实减少损失,还需要更好的审计后纪律和运营保障措施。
Sentora 的帖子和图表提醒我们,DeFi 安全是一个持续的过程,而非一纸证书。审计有助于发现问题,但无法阻止问题的发生。除非团队将安全视为一项持续性工作,而非仅仅勾选一个选项,否则相关数据很可能会继续增长。
