在最近发生的一系列 DeFi 黑客攻击事件之后,领先的区块链安全公司Certora于 4 月 30 日星期四举办了一场题为 "我们是否保护错了一层?"的现场直播,对 DeFi 中一个长期存在的假设提出了质疑。多年来,业界一直将智能合约审计作为主要防线。然而,最近的漏洞利用表明,攻击者不再仅仅依靠破坏合约逻辑。相反,他们越来越多地瞄准支持协议的周边系统。
2026 年 4 月就鲜明地凸显了这种转变。该月记录了 29 起独立的黑客攻击事件,比 1 月份最高的 16 起事件增加了 81%,成为有史以来加密货币漏洞利用最严重的月份。
最大的事件包括 KelpDAO(2.93 亿美元)、Drift(2.95 亿美元)和 Rhea(1800 万美元)。这些事件并没有共同的技术缺陷。相反,它们反映了整个生态系统中攻击载体的广泛扩展。
Certora 首席执行官塞斯-哈勒姆(Seth Hallem)与Turnkey 解决方案工程主管迈克尔-卢韦伦(Michael Lewellen)共同探讨了威胁格局的演变以及协议团队必须采取的适应措施。讨论强调了一个明显的转变。现在,安全风险已经远远超出了链上代码的范围,而是扩展到了链外基础设施、操作流程和人类行为。
不断变化的威胁环境
会议首先回顾了近期备受瞩目的漏洞利用事件。Lewellen 指出,整个四月份攻击事件激增,其中包括影响 Drift Protocol、KelpDAO 和 Sui 生态系统内多个项目的事件。这些攻击并不依赖于传统的智能合约漏洞。相反,它们利用了多重身份设置、基础设施和操作实践中的弱点。
在一个例子中,攻击者利用社会工程学入侵多方签名者。在另一个例子中,他们在后端基础设施中嵌入恶意代码,等待时机采取行动。这些方法反映了一个更广泛的趋势。攻击者现在的行为更像高级持续威胁,他们将时间和资源投入到长期渗透中,而不是快速利用。
Hallem 指出,这种转变为业界敲响了警钟。早期的 DeFi 黑客攻击通常涉及直接的编码错误。如今的攻击者则表现出耐心、协调性以及对协议如何跨多层运行的深刻理解。
人工智能在现代攻击中的作用
人工智能进一步加速了这种转变。Hallem 和 Lewellen 都强调,人工智能工具现在可以让攻击者以前所未有的速度分析协议。通过扫描代码库、文档和公共数据,这些工具可以快速识别薄弱点并生成潜在的攻击策略。
发现成本的降低降低了利用的门槛。资源有限的小型协议现在面临的审查水平与以前只适用于大型平台的审查水平相同。
与此同时,人工智能还提供了防御优势。安全团队可以使用类似的工具来模拟威胁、识别漏洞和测试假设。然而,这也造成了攻击者和防御者之间的竞争。未能采用这些工具的团队有可能落后。
DeFi 团队的即时安全措施
讨论的一个核心主题是运营安全。Lewellen 强调了端点保护、访问控制和基础设施加固的重要性。许多团队仍然依赖于个人设备、最低限度的监控和定义松散的流程。这些做法带来了巨大的风险。
他建议立即采取几项措施。协议应该
-
提高关键操作的多重身份阈值
-
根据风险划分权限
-
采用基于硬件的身份验证方法
团队还应实施端点检测系统,强制执行安全设备使用,并为事件响应保存详细日志。
Hallem 补充说,协议必须根据风险状况调整操作流程。并非所有行动都需要相同的安全级别。常规操作可以保持灵活,但合同升级等影响较大的操作应受到更严格的控制,审批时间也应更长。
平衡安全与权力下放的挑战
分权仍然是 Web3 的核心价值,但实现强大的安全性往往需要集中协调和大量资源。管理大量资金的小型团队在满足这些要求方面面临特殊挑战。
Hallem 将这种动态与云计算的发展进行了比较。各组织最初出于安全考虑抵制集中化,但最终认识到大型供应商可以通过规模提供更强大的保护。随着协议寻求企业级安全解决方案,加密基础设施也可能发生类似的转变。
迈向持续安全
现场直播得出的最明确的结论之一就是需要持续的安全实践。时间点审计无法应对不断发展的威胁、不断变化的基础设施或新的攻击技术。相反,协议必须采用持续监控、定期威胁建模和系统持续验证等方法。这种方法将安全视为一种操作功能,而不是一次性的检查清单。
Lewellen 强调,攻击者会不断适应。如果一层变得安全了,他们就会瞄准另一层。因此,协议必须从整体上看待其系统,尽可能消除单点故障。
DeFi 的新安全现实
Certora 现场直播强调了对 DeFi 安全理解的根本转变。智能合约仍然至关重要,但它们不再是主要的故障点。更广泛的生态系统,包括基础设施、治理和人力流程,现在定义了真正的攻击面。
随着协议的发展和吸引更多资本,它们将面临越来越复杂的对手。应对这一挑战需要的不仅仅是更好的代码。它需要一种全面的方法,将技术、运营和人的意识整合到统一的安全战略中。
在 SolanaFloor 上阅读更多内容
区块链市场拒绝新产品发布,$PRINT和$SPC首次亮相惨淡收场
Meta在Solana上为创作者推出$USDC支付服务
Circle 是否应该冻结被盗资金?
