審計固然重要,但並非萬能。這是區塊鏈數據分析平臺 Sentora 最近發佈的一條推文直白地指出的問題,推文還附有一張柱狀圖,詳細列出了 DeFi 黑客攻擊和漏洞利用造成的數十億美元損失。數據涵蓋 2020 年至 2025 年(不包括Terra崩盤),並揭示了一個令人不安的事實:即使是那些付費進行安全審查的項目,也難逃鉅額損失。
Sentora 寫道:“審計對 DeFi 至關重要,但並非萬無一失。2020 年至 2025 年間,經審計的項目損失超過 33 億美元,主要原因是資金外流、私鑰洩露和審計後變更。DeFi 審計是基礎,但有效的風險管理仍然需要對風險進行積極監控。”
隨附的圖表按審計師對損失進行了排序,顯示未經審計的項目遭受的損失最大,大約在 50 億美元左右,但同時也顯示,經過審計的項目以及像 Certik、NCC Group 和 Trail of Bits 這樣的知名公司也遠非倖免。
分層問題
綜合來看,這些圖表和Sentora的總結勾勒出一個錯綜複雜的問題。一方面顯而易見:那些跳過審計或偷工減料的項目最終付出了代價。另一方面,同樣重要的是,審計本身只是快照,通常是在最後一刻的代碼修改、治理變更或引入新的管理員密鑰之前進行的。
這些審計後的修改,加上竊取私鑰的社會工程攻擊和內部人員的惡意撤資,造成了Sentora在審計項目中標記的33億美元損失中的很大一部分。圖表還突出顯示了一箇中間類別,即被歸類為“其他(68)”的大量小型審計機構,它們加起來也造成了相當大的損失。
這表明,問題不僅在於項目是否經過審計,還在於審計的質量和全面性、審計員的工作範圍,以及報告發布後的後續工作。如果審計遺漏了關鍵的設計假設,或者審計團隊忽視了建議的緩解措施,就會留下後患。
安全從業人員多年來一直強調,單次審計應該被視為安全計劃的起點,而非終點。持續監控、分階段部署、多重簽名控制、特權函數的時間鎖定、主動漏洞賞金計劃以及保險產品,都是構建更具彈性的安全策略的組成部分。
Sentora 的信息強調,審計只是設定了最低標準,團隊和投資者必須層層疊加保護措施並持續監控。對於一個重視可組合性和快速迭代的 DeFi 生態系統而言,這種矛盾是真實存在的。開發者希望快速發佈功能並迅速調整方向;審計人員需要足夠的時間和精力進行全面徹底的審計;而攻擊者則會伺機利用兩者之間的短暫空隙。
數據得出的結論既簡單又令人不安;審計支出仍然是必要的,但如果社會想要切實減少損失,還需要更好的審計後紀律和運營保障措施。
Sentora 的帖子和圖表提醒我們,DeFi 安全是一個持續的過程,而非一紙證書。審計有助於發現問題,但無法阻止問題的發生。除非團隊將安全視為一項持續性工作,而非僅僅勾選一個選項,否則相關數據很可能會繼續增長。
