samczsun：加密協議安全，關鍵在主動重新審計

漏洞賞金計劃是被動舉措，而安全防護需要主動推進。

撰文：samczsun，Security Alliance 創始人、前 Paradigm 研究合夥人

如今業界已形成共識，加密貨幣安全防護需遵循三大關鍵步驟：開發階段編寫測試用例以排查基礎錯誤；部署前通過審計與競賽展開全面審查；設立漏洞賞金計劃，對負責任揭露漏洞以防範攻擊的研究人員給予獎勵。這些最佳實踐的普及，大幅減少了鏈上漏洞數量，迫使攻擊者將目標轉向私鑰竊取、基礎設施入侵等鏈下漏洞。

然而，即使是經過全面審計並提供豐厚漏洞賞金的協議，仍不時遭遇駭客攻擊。此類事件不僅影響涉事協議本身，還會動搖整個生態系統的信任根基。近期的 Yearn、Balancer V2 駭客攻擊，以及年初的 Abracadabra、1inch 安全事件均表明，即便是久經考驗的協議也並非絕對安全。加密行業是否本可避免這些攻擊？抑或這只是去中心化金融的必然代價？

評論人士常提出，提高漏洞賞金本可保護這些協議。但即便撇開經濟現實不談，漏洞賞金本質是被動安全措施，將協議命運交由白帽駭客掌控，而審計才是協議主動採取的自我防護行動。提高漏洞賞金無法阻止駭客攻擊，因為這無異於加倍下注，賭的是白帽駭客能比黑帽駭客更早發現漏洞。若協議想要真正保護自身，就必須主動展開重新審計。

財庫資金與鎖倉價值（TVL）

有時駭客會同意歸還大部分被盜資金，僅保留一小部分（通常為 10%）作為回報。遺憾的是，業界將這部分回報稱為「白帽賞金」，這不禁讓人疑問：協議為何不直接通過漏洞賞金計劃提供同等金額，從而避免談判的麻煩？但這種想法混淆了攻擊者可竊取的資金與協議可支配的資金。

儘管從表面看，協議似乎可動用這兩筆資金用於安全防護，但協議僅對自身財庫資金擁有合法支配權，無權動用用戶存入的資金。用戶也極不可能提前授予協議此類權限，只有在危機時刻（例如存款人需在損失 10% 存款與損失 100% 存款之間做出選擇），才會允許協議利用存款進行談判。換句話說，風險會隨鎖倉價值（TVL）同步擴大，但安全預算卻無法隨之增加。

資本效率

即便協議資金充足（例如擁有龐大的資金庫、盈利能力強，或者已經實施了安全費用政策），如何合理分配這些資金用於安全防護，仍是一個難題。與投資進行重新審計相比，提高漏洞賞金往好裡說是資本效率極低，往壞裡說會導致協議與研究人員之間的激勵錯位。

如果漏洞賞金與 TVL 掛鉤，那麼當研究人員懷疑協議的 TVL 會增長且重複漏洞出現的概率很低時，他們顯然更有動機隱瞞關鍵漏洞。這最終會讓研究人員與協議直接對立，損害用戶利益。單純提高關鍵漏洞賞金也難以達到預期效果：自由職業研究人員群體規模龐大，但將大部分時間投入漏洞賞金、且具備足夠技能在複雜協議中發現漏洞的人寥寥無幾。這些精英研究人員會將時間集中在最有可能獲得投資回報的賞金項目上。對於規模龐大、久經考驗的協議，由於預設始終受到駭客和其他研究人員的密切關注，發現漏洞的概率被認為微乎其微，因此無論提供多少賞金，都不足以吸引他們投入精力。

與此同時，從協議角度來看，漏洞賞金是預留用於支付單個關鍵漏洞的資金。除非協議願意賭絕對不會出現關鍵漏洞，同時向研究人員隱瞞自身流動性狀況，否則這筆資金無法挪作他用。與其被動等待研究人員發現關鍵漏洞，不如將同等金額用於多年內展開多次重新審計。每次複審都能確保獲得頂尖研究人員的關注，並且不會人為地限制於發現單個漏洞，同時也能使研究人員和協議之間的利益保持一致：如果協議被利用，雙方都會遭受聲譽損害。

現有先例

在軟體和金融行業，年度到期審計是經過驗證的成熟實踐，也是判斷企業是否能應對不斷演變的威脅環境的最佳方式。SOC 2 Type II 報告被 B2B 客戶用於評估供應商是否維持適當的安全控制措施；PCI DSS 認證表明企業已採取妥善措施保護敏感支付資訊；美國政府則要求接觸政府資訊的相關方必須獲得 FedRAMP 認證，以維持高標準安全防護。

智能合約本身雖具有不可變性，但運行環境並非一成不變。配置設定可能隨時間變更，依賴項可能被升級，原本被認為安全的程式碼模式實則可能存在風險。協議審計是對審計當時安全狀況的評估，而非對協議未來安全性的前瞻性保障。更新這一評估結果的唯一方式，就是展開新的審計。

2026 年，加密行業應將年度審計作為協議安全防護的第四步。擁有大量 TVL 的現有協議應針對其部署情況展開重新審計；審計公司應提供專注於評估整體部署情況的專業重新審計服務；整個生態系統應集體轉變對審計報告的認知，它們只是對特定時間點安全性的評估，可能會過期，而非永久安全保障。