摘要:随着多起重大DeFi事件暴露系统性风险,行业正重新审视安全边界。从代码不可变到可升级合约,再到依赖人工干预的应急机制,安全重心已从审计转向操作与治理层面。多位创始人指出,真正的威胁往往来自链下单点故障和人为控制,而非代码漏洞。
币圈界报道:
DeFi本质之辩:协议已非不可变公共产品
安德烈·克朗耶强调,当前多数去中心化金融项目已偏离原始定义。他指出,大量协议虽以去中心化名义运行,实则由团队主导、具备合约可升级能力,并深度依赖链下基础设施与管理流程,本质上是受控的营利性运营实体。
安全架构从代码封闭转向动态治理
早期协议依托不可更改的智能合约构建信任,而现代系统普遍引入代理模式、多重签名控制、时间锁及人工响应机制。这种演变使得安全不再仅由代码决定,更取决于治理结构与执行流程的稳健性。
攻击焦点转移:从代码缺陷到操作脆弱性
克朗耶指出,近期多起高调事件暴露出传统Web2型风险——包括基础设施访问权限滥用、系统配置失误与社会工程攻击。这些案例表明,即便合约本身无漏洞,仍可能因链下环节失守导致资金损失。
断路器机制的双刃剑属性
Flying Tulip所采用的提款延迟机制并非永久冻结,而是设定异常流量阈值后启动响应窗口,为团队争取约六小时的应对时间。该设计旨在弥补地理分布局限带来的响应延迟,但其有效性依赖于团队执行力与流程可靠性。
去中心化与抗风险能力的深层矛盾
Curve Finance联合创始人迈克尔·埃格罗夫认为,最新危机揭示了链下依赖构成最大风险源。例如rsETH事件中,漏洞并未出现在智能合约层面,而是源于链外服务节点的失效。他警告,若紧急控制权集中于少数人手中,断路器可能被劫持并用于实施资金冻结或恶意修改,反而成为新的攻击入口。
因此,长期解决方案应聚焦于构建无需人为介入即可持续运行的系统,将安全根基建立在去中心化架构之上,而非增加对中心化控制的依赖。
声明:本站所有文章内容,均为采集网络资源,不代表本站观点及立场,不构成任何投资建议!如若内容侵犯了原著者的合法权益,可联系本站删除。