披露:此处表达的观点和意见仅属于作者本人,并不代表ethnavigator.com编辑部的观点和意见。
在2024年的大部分时间里,我感觉自己仿佛生活在未来。谷歌发布了一款量子计算芯片,可以轻松完成传统计算机需要的时间超过宇宙存在时间的计算。Waymo的自动驾驶车辆每周运输超过15万人。像AlphaFold这样的人工智能模型继续以精确度解决复杂的生物挑战。
尽管其他领域的技术取得了巨大的进步,但我们行业的某些部分感觉却停滞不前,尤其是在安全性方面。尽管先进技术正在改变几乎每个行业,但web3的安全性仍然令人沮丧地存在问题。
从web2的集中模型转变为web3的去中心化架构,显著扩大了攻击面。去中心化是web3创新的基石,但它带来了一个固有的安全悖论:同样的开放、分布式特性赋予用户自由,也创造了一个广泛且永久暴露的攻击面。每年数千亿的交易量,使得确保安全性的 stakes 从未如此之高。
然而,尽管攻击面的急剧增长以及数十亿资金在协议中流动,我们行业仍然依赖反应性、手动审计作为安全基础。这种方法——曾被视为web3安全的黄金标准——已被证明极其不足且过时。数据证实了这一现实;90%的被利用合同已经经过审计。
正如web2软件开发远远超越手动测试,采用了多种工具和技术——持续集成、自动化测试、运行时监控等——web3现在也需要在开发方式上进行类似的转变,并最终向大众部署。
web3的独特挑战
当考虑到web3安全漏洞的风险水平时,智能合约安全实践的现状尤其令人担忧。主要有三个关键原因:
不可变性:当您部署智能合约时,其代码变得永久——不可变性是核心特性,而非错误。这意味着,与web2应用程序不同,开发人员可以快速修补漏洞,修复智能合约缺陷需要整个协议的复杂协调。
可见性:这一挑战的复杂性在于区块链代码的公开性质,潜在攻击者可以看到源代码。如果存在漏洞,恶意行为者可以(并且会)找到它们。
对资产的直接控制:最关键的是,web3漏洞使实际资产面临直接风险。尽管web2攻击通常针对数据,但智能合约漏洞会导致直接且往往是不可逆转的财务损失。
使web3变革性的特性——不可变性、透明性和对资产的直接控制——正是要求我们从根本上重新思考安全性。
为何仅靠审计不足
让我明确一点:我并不是反对审计。审计在部署安全智能合约中扮演着至关重要的角色,但它们不应成为我们的第一和唯一防线。当审计是我们唯一的选择时,用户的资产就暴露在风险之中。以2023年的Euler Finance黑客事件为例;尽管该协议已经经过十次不同的审计,但损失超过2亿美元。
依赖手动审计的最根本问题是,即使是最先进的审计人员也无法捕捉到所有问题;人类是有缺陷的。智能合约正变得越来越复杂,每个新特性都会成倍增加潜在的攻击向量,使得任何手动审查几乎不可能识别每一个潜在弱点。一个项目可以经过十次不同的审计却仍然被黑客攻击,正好证明了这一点——这并不是个别审计人员的技能问题,而是手动审查固有的局限性。
主动安全的理由
简而言之,我们行业对审计的依赖造成了我认为是web3安全的不负责任的现状——在这种现状下,主动保护智能合约成为例外,而非常态。意识到web3在创新的同时,安全却停滞不前,这正是促使我在2022年创办Olympix的原因,这是一个以开发者为先的web3安全平台,旨在赋能开发者在编写代码时确保其安全。
我们的目标是尽可能自动化审计过程,目前在项目达到第一次审计之前,可以捕捉到20-50%的漏洞。这使得安全专家能够集中时间寻找最具影响力和新颖的漏洞,而不是处理常规问题。这是有效的;内部分析显示,仅在2024年第三季度,若团队使用我们的工具,曾经被利用的、已审计合同的损失将达到6000万美元。这包括Pendle(650万美元)和LIFI(60万美元)等高调黑客事件。然而,像审计一样,像Olympix这样的高级工具也并不是一个完整的解决方案。web3的独特挑战需要一种复杂的多层次方法,将主动的、以开发者为先的工具与传统审计、漏洞奖励计划和链上监控相结合,以创建多重保护层。
前进的道路:从反应性到主动性
看看您今天的安全策略。它是否依赖于一次性审计?您的安全实践的复杂性是否与您所部署项目的复杂性和风险水平相匹配?我猜,对于绝大多数来说,安全差距依然存在危险的宽度。
现实是,在2025年,我们拥有一切所需以转变web3安全。安全部署智能合约的技术已经存在,工具也随之而来——Olympix就是其中之一。
我坚信,我们行业的未来将由信任决定,首先取决于我们保护同行委托给我们的资产的能力。是的,web3是变革性的,但它也是无情的。在数十亿的利益面前,web3的稳健性和持久性掌握在我们手中。让我们主动保障我们的未来。
.author-card__photo
Channi Greenwall.author-card__name
Channi Greenwall是Olympix的创始人,该公司为web3开发提供主动安全工具,已在各协议中锁定超过100亿美元的总价值。该平台自成立以来短短几年内,已被超过30%的Solidity开发者用于智能合约安全。在创立Olympix之前,她在摩根大通设计关键的安全基础设施,随后担任Security Scorecard的产品负责人。她持有纽约大学计算机科学学士学位和安全工程硕士学位。 .author-card__bio
.author-card__social.author-card__content
