在接受 BeInCrypto 採訪時,Movement Labs 聯合創始人 Cooper Scanlon 警告了區塊鏈基礎設施中的漏洞,特別是傳統智慧合約(如 ETH)中的缺陷。他強調這些弱點是對全球金融未來的嚴重威脅。
他的評論是在加密貨幣行業面臨欺詐和攻擊事件增加,造成巨大損失並降低該領域信心的背景下提出的。
Movement Labs 聯合創始人分享智慧合約風險
Scanlon 指出,2024 年智慧合約漏洞造成了數十億美元的損失。根據 SolidityScan 的資料,2024 年加密貨幣攻擊事件達到 14 億美元,涉及 149 起獨立事件。
2024 年加密貨幣攻擊造成的損失。來源: SolidityScan事實上,今年加密貨幣社群經歷了有史以來最大規模的攻擊之一,Bybit 遭到駭客攻擊,損失 15 億美元,主要是 ETH。駭客利用一個交易簽名漏洞,繞過錢包安全措施進行了非法提款交易。
此外,3 月初,去中心化交易所(DEX) 1INCH 也遇到了嚴重事故,源於 Fusion v1 resolver 智慧合約的漏洞,進一步說明了這些漏洞給該領域帶來的困擾。
Scanlon 強調,這些事件並非漸進式下降,而是在幾秒鐘內造成毀滅性損失。考慮到區塊鏈與傳統金融系統日益深入的整合,情況變得更加嚴峻。
"如果金融機構將智慧合約整合到支付系統和資本市場,而不解決這些潛在缺陷,我們就會增加更廣泛系統的風險,"他告訴 BeInCrypto。
聯合創始人還強調了一個危險的錯誤觀念,即成功的智慧合約審計可確保安全。Scanlon 表示,審計只能發現一小部分潛在漏洞,常常忽視更復雜的攻擊向量。
此外,他強調這些攻擊事件每天都在發生。他指出,在過去兩個月內發現了三個重大的重入漏洞。他警告說,這些事件並非孤立發生,而是反映了更深層的架構缺陷。
"如果繼續在 ETH 上使用 Solidity 程式碼進行開發,隨著區塊鏈應用的增加,這些威脅在未來五年內可能會惡化。與傳統金融的更大整合意味著更有價值的目標,而日益增加的複雜性則創造了更多攻擊面,"Scanlon 評論道。
重入漏洞是智慧合約中的一個漏洞,合約外部呼叫可能在初始執行完成前再次呼叫合約。這允許攻擊者重複執行一個功能,可能會導致資金被耗盡或合約被操縱。著名的例子是 2016 年的 DAO 攻擊。
Movement Labs 聯合創始人還提到了 Kyber 攻擊,作為一個簡單的整數溢位錯誤如何導致災難性後果的例子。但他承認,實際上沒有開發人員或審計人員能夠在成千上萬行 Solidity 程式碼中精確地識別如此細節的漏洞。Scanlon 認為,任何傳統協議都伴有這些固有風險。
"當大銀行、支付處理商和交易所建立在這些系統之上時,過去隻影響加密貨幣愛好者的漏洞現在威脅到了更廣泛的金融生態系統,"他強調。
為了解決這些風險,他相信解決方案在於超越過時的架構,採用更安全的現代設計。他將注意力轉向了 Movement Labs 使用的 Move 程式語言。
Scanlon 解釋說,Move 透過面向資源的設計和正式驗證來消除常見的漏洞。他認為 Move 專門設計用於防止所有型別的漏洞。
"Move 代表了相比現有智慧合約平臺的革命性進步,"Scanlon 表示支援。
智慧合約與金融系統:整合之路
面對這些風險,Scanlon 認為區塊鏈網路需要標準化的安全協議。但他強調,傳統模式不能直接應用。
他指出,在整合去中心化系統之前,金融機構必須理解區塊鏈帶來的獨特安全挑戰。
"金融機構想要整合去中心化系統,必須認識到區塊鏈交易是不可逆的。這意味著在區塊鏈上,攻擊通常無法逆轉。這一基本差異要求完全重新思考風險管理,但也突出了去中心化技術的獨特價值,"Scanlon 向 BeInCrypto 透露。
Scanlon 也強調了制定監管方法的必要性。他指出,傳統金融和去中心化系統不再是獨立的領域 - 它們正日益融合。
然而,他指出,目前大多數法律框架仍基於過時的關切。它們主要集中在諸如瞭解您的客戶(KYC)和反洗錢(AML)合規以及投資者保護等傳統問題上。
Scanlon警告說,這些法律框架忽視了可能導致區塊鏈生態系統出現系統性故障的更深層次的技術風險。他認為,該行業需要更多的明確性。
"政府應該努力建立明確的區塊鏈法律,以使創新者和開發者有資源和信心來安全、安全地開發鏈和應用程式,"Scanlon評論道。
他主張應該集中精力創造一個可以發展安全創新的環境,而不是對所有人施加通用標準。
為什麼人性心理推動了騙局的成功
除了解決智慧合約基礎設施中的漏洞外,Scanlon還討論了社交媒體上流行的 meme 幣欺騙行為的增加。最近,許多 名人、行業專家和 政治領導人已被攻擊,他們的 X 賬戶被接管以推廣欺騙性代幣。
Scanlon解釋說,這些事件正在增加,因為涉及不對稱回報。騙子只需最小的技術努力就可以獲得可觀的利潤。
"這些社會工程攻擊從根本上不同於智慧合約漏洞。它們利用人性心理,而不是程式碼缺陷,"Scanlon告訴 BeInCrypto。
為了應對這些威脅,Scanlon強調社交媒體平臺需要更復雜的檢測系統來識別被入侵的賬戶並阻止欺騙性宣傳。他還呼籲改善鏈上分析,以在它們變得強大之前檢測和標記可疑的代幣合約。
他強調 提高資源以驗證專案合法性的重要性。此外,他建議協議應該整合更強大的驗證措施。
Scanlon得出結論說,長期解決方案在於提高技術。他強調需要在各個層面上開發一個以安全為中心的生態系統,從程式碼設計到使用者體驗。Scanlon聲稱社群應該是首要任務。因此,保護社群免受這些威脅是最重要的。
