与竞争对手相比,Solana 因黑客攻击造成的损失更少:Certora 解释原因
索拉纳网络因黑客攻击和漏洞利用而损失的资金比例低于竞争对手的网络 - 原因何在?
- 已发布:
- 已编辑:
当区块链的拥护者们在庆祝该行业令人难以置信的一年时,整个领域的邪恶行为者们也在享受着自己的牛市。
分析师报告称,2025 年是非法行为的丰收年。仅在今年上半年,不良分子就在与加密货币有关的犯罪中窃取了超过 19.3 亿美元,超过了 2024 年全年因黑客攻击和诈骗而损失的金额。
分析师报告说,2025 年是犯罪活动的丰收年。
不过,尽管加密货币的恶意程度前所未有,但索拉纳至少在技术上仍然非常安全。2025 年,EVM 网络遭受了超过 2.2 亿美元的黑客攻击,而基于 Solana 的应用程序却基本毫发无损,在今年的这个阶段,漏洞攻击造成的损失约为 1800 万美元。
SolanaFloor独家采访了领先的区块链安全公司Certora的首席执行官塞斯-哈勒姆(Seth Hallem),深入探讨了这一巨大差异的细节,并找出了Solana在本质上是否真的是一个更安全的操作空间。
为什么 Solana 比 EVM 遭受的黑客攻击更少?
只要查看一下DefiLlama’的黑客列表,就会发现一幅令人遗憾的画面。从一个月的加密货币漏洞利用的快照来看,EVM 链显然在很大程度上占有过高的比例,尤其是与 Solana 及其相邻的 SVM 相比。此外,值得注意的是,7 月份的 Solana’Texture 黑客攻击是网络上仅有的 3 个漏洞之一,而基于 EVM 的链上则有数十个。
尽管交易所黑客攻击(如价值 14 亿美元的 ByBit 漏洞)一直是规模最大、破坏性最强的安全事件,但协议逻辑中的缺陷却是恶意行为者最常利用的漏洞。
Hallem 将 Solana 大幅降低黑客攻击和漏洞利用数量归功于 Solana 固有的编程架构。与 Solidity 等加密专属语言相比,Solana 编程使用的是 Rust 语言,与 EVM 开发人员必须使用的语言相比,Solana 是一套更易于使用且经过实战检验的基础乐高。
“Solana 合约基于 Rust 构建,而 Rust 是一种比 Solidity 更为广泛采用和熟悉的编程语言。对于开发人员来说,任何时候都有学习曲线,都有一套全新的安全规则和实践需要学习… Solana 在开发之初就考虑到了可重用性和可升级性等概念。这样,开发人员就可以在不断扩大的构建模块库基础上进行构建。功能集中化和重用的程度越高,您就越有机会为整个社区的利益而在安全性方面进行大量投资。此外,Hallem 还明确指出,由于网络规模大幅扩大,EVM 为加密货币的邪恶无赖提供了更肥沃的土壤。以太坊的 TVL 比 Solana 的大 595%,这还不包括第 2 层。
然而,虽然 Hallem 正确地指出以太坊的攻击表面积要大得多,但 Solana 的黑客攻击量仍按比例较小。以太坊 2025 年的黑客攻击量占其 TVL 的 0.22%,而 Solana 为 0.12%。“EVM 链仍然是一个更大、更有利可图的目标--随着 Solana 的发展,针对 Solana 链的攻击数量也将增加。
当你无法验证时,你能相信谁?
尽管自我监管是加密货币’基本精神的标志,但它也是一把双刃剑。链上经济可能是一个充满无限机遇的金融乐园,但只需一次流氓链接点击或毫无戒心的合约交互,用户就会一无所有。
加密货币的拥护者们不厌其烦地宣扬“不要相信,要验证”的口号,但现实情况是,绝大多数区块链用户都不具备分析链上开源合约的能力。
“Don’t trust, verify”在 Solana 上也许更加多余,因为大多数应用程序都在运行闭源协议。这将用户置于一个棘手的境地:如果您无法验证,您又如何能够信任?
这就是像 Certora 这样声誉卓著的安全公司赢得声誉并巩固自己作为链上经济无名英雄地位的地方。Hallem 将区块链安全审计人员比作 Web2 世界的专家律师,他们负责抽象出复杂得令人难以置信的链上合约的细枝末节,标记出潜在的漏洞,并与开发人员团队一起修补攻击向量。“The average end user gains little by analyzing a Rust contract, but they should be vigilant about who the trusted auditors are in the space, who has audited each Solana program they intend to use, and what the auditor had to say about that program.”
。
“ 链上安全是一个价值数万亿美元的问题,这也是 Certora 等公司存在的最终原因。思考这个问题的最佳方式是将 Web3 的精神 "代码即法律 "进行类比应用。我们大多数人既没有专业知识,也没有耐心去阅读美国国会通过的每一部法律。相反,我们依赖于更容易获取的第二手资料--解释与我们相关的法律的新闻报道,以及在有疑问时,专门解释法律的律师。Web3 世界也是如此--像 Certora 这样的审计公司充当着中介机构的角色,与合同开发人员合作以确保安全,同时也充当着最终用户社区的信任解释者。作为 Solana 最可靠的审核员之一,Certora 无疑是网络最受欢迎的信任解释者之一。
Solana’的 DeFi 巨头,包括像 Jito 和 Kamino 这样拥有数十亿 TVL 的平台,通常都会求助于 Certora 进行安全审核,以确保其用户’的安全。截至 2025 年 8 月,Certora 已在 Solana 上获得了超过 90 亿美元的资金,最近几周随着 SOL’$SOL’$SOL’$SOL&rsquo's 价格的飙升,这一数字可能还会增长。
保持领先于黑客
。区块链安全是一场微妙的猫捉老鼠游戏。黑客不断开发新的攻击载体和策略,这意味着即使是被认为安全的应用程序也需要紧跟新的漏洞利用趋势。
Hallem声称,Certora’的审计方法采用双管齐下的方式。在 Certora 经验丰富的审计员团队和形式验证工具等技术的配合下,该公司积极主动的态度为应用程序和用户提供了保护。
“Certora 作为一家审核机构的优势建立在两大支柱之上:人员和技术。人员是第一位的,我们为能组建一支由 Web3 安全专家组成的人才队伍并为他们提供一个鼓励他们尽最大努力工作的环境而感到自豪。为了让我们的团队处于成功的最佳位置,我们总是为一个项目指派至少两名审核员,并不断创新审核流程。除了为每个项目指派多名审核员外,Certora 还利用强大的安全工具来识别漏洞。
“Technology is the second pillar of what we do - we build innovative, industry-leading tools that we use to find vulnerabilities in smart contracts and, increasingly, to guide our auditors to the suspicious areas of a contract that require further investigation.” 像公司专有的 Certora Prover 这样的常规验证堆栈将智能合约字节码与代码的预期行为进行比较,分析合约状态和路径,以突出潜在的攻击向量。“攻击者也在不断创新,为了保持领先地位,我们走了两条不同的道路。第一种是确保我们始终了解最新的攻击载体,以及这些载体会如何影响我们的客户,但这归根结底是一种被动的观点。第二种方法是使用形式验证(Certora 的核心技术),从数学上保证不存在可能导致合同易受攻击的各类故障。
正规验证得到了 Solana 安全思想领袖的广泛支持,其中包括 Kamino 创始人 Marius Ciubotariu,当然还有 Solana Labs 创始人 Anatoly Yakovenko。
审计员责任
。加密领域弥漫的最大误解之一就是认为经过审计的协议不会被利用。令人不安的现实是,区块链安全审计绝不能保证某些协议和应用程序可以安全使用。
相反,加密货币原住民应将审计视为专家为尽最大努力保护人们而做出的真诚、诚实的努力。Hallem 认为,如果一个经过审核的协议被黑客攻击,那么利用漏洞的责任和义务最终将由应用程序而不是审核员承担。
“Auditor 在建立 Web3 生态系统的信任方面发挥着关键作用,而在这一过程中,审计公司的声誉至关重要。与税务审计师一样,我认为审计师的责任不在于协议是否被黑客攻击,而在于审计师是否诚实。许多公司都成功地向税务审计师隐瞒了避税和其他非法行为,只要审计师真诚地努力进行彻底、全面的审计,这些选择的责任就在于公司,而不是审计师。在 Web3 领域,我们也有类似的义务对客户的代码进行彻底分析,并诚实地报告我们的发现。但是,我们仍然只是客户的顾问,我们无法完全控制客户关于发布何种软件以及如何发布的决定,而且鉴于我们工作的性质,我们的工作总是不完整的,因为攻击者会不断创新,而漏洞越来越依赖于我们审计的代码之外的交互。撇开 Web2 的比较不谈,Hallem 对区块链审计师在这个喜欢玩指责游戏的行业中所扮演的角色提出了中肯的看法。尽管区块链行业取得了诸多进展,但参与者仍需保持批判性、警惕性和客观性,不要盲目信任应用程序和安全公司。“web3 安全问题的真正答案远不止作为单点故障的审计--该行业需要一个更广泛、更全面的解决方案来应对 web3 中的安全挑战,而作为一家公司,Certora 正致力于提供更广泛的解决方案。智能合约漏洞不会消失,但我们可以向其他行业学习,在这些行业中,技术与 "纵深防御 "思维的结合产生了一种分层方法,让我们在网上互动时感到安全。随着行业的成熟,同样的方法也可以并应该适用于 Web3。至少在可预见的未来,加密货币可能仍将是金融业的狂野西部。只要链上经济继续为漏洞利用和无权限货币提供肥沃的土壤,该领域就将继续受到邪恶和攫取性参与者的困扰。不过,尽管坏人会继续存在,但好人也会起到制衡作用。像 Certora 这样的安全公司虽然仍不能保证绝对安全,但可以说是防范不法行为的最佳手段。
阅读关于 SolanaFloor 的更多信息
Why does Star Atlas need its own Layer-1? 。SolanaFloor 与 Star Atlas 首席执行官 Michael Wagner 坐下来
