DeFi风险的四个层面:金融机构的安全框架

OpenZeppelin 发布于 2026-05-13 阅读 175

本文由OpenZeppelin发布,指出DeFi安全威胁已从智能合约漏洞转向操作层,如签名基础设施、治理升级和跨链集成。分析了Bybit、Drift等重大攻击案例,强调机构需要持续监控和操作安全评估,而非仅依赖代码审计。提出了四层风险框架和参与DeFi的步骤建议。

摩根大通最近登上头条,指出持续存在的安全漏洞是机构参与DeFi的障碍,而背后的数字令人难以忽视:Bybit(15亿美元)、KelpDAO(2.92亿美元)、Drift(2.85亿美元)和Euler(1.97亿美元)。

损失是真实的,其背后的权衡也是真实的。正是链上金融所具备的最终性和结算速度,使得安全事件带来的后果立竿见影,且在大多数情况下不可逆转。当前局势尤为严峻之处在于,攻击者已向技术栈下层转移。过去两年中最重大的损失,源于复杂的社会工程攻击、签名基础设施的攻破以及操作控制失效——而大多数机构安全项目并未设计来捕捉这些风险。这是一个可以解决的问题,但需要不同的方法。

OpenZeppelin 已花费超过十年时间,为包括 DTCC、WisdomTree 和 Fidelity Digital Assets 在内的机构保护链上金融基础设施。我们学到的经验是:DeFi 风险是可以管理的,但它需要与传统的金融风险不同的思维模型,以及比大多数机构当前所采取的更为主动的安全姿态。

威胁格局已经转变,而大多数风险登记簿尚未跟上

流行的叙事将 DeFi 损失归结为“智能合约黑客攻击”。这种框架已越来越过时。审视过去 36 个月的主要事件,绝大多数损失如今源自这些协议周围的操作层故障。

以 Bybit 攻击为例,交易所本身从未被攻破。发生的是针对钱包提供商签名界面的供应链攻击:攻击者花费超过两周时间渗透 Safe{Wallet} 的基础设施,随后向签名 UI 中注入了恶意的 JavaScript。签名者根据界面显示的内容授权交易,而不是他们实际签署的内容。Drift 的攻击遵循了类似的模式:为期六个月的社交工程行动,最终导致安全委员会成员在不知情的情况下预先签署了交易,将管理控制权交给了攻击者。

这些事件指向了操作控制失效和人为失误的组合:大多数机构现有风险项目并未设计来捕捉的漏洞。

金融机构应追踪的主要威胁类别可分为四个不同的层面:

  1. 智能合约与协议: 实现协议核心逻辑的代码、管理金融协议的规则,以及这些合约所依赖的外部数据源(预言机、价格反馈)。
  2. 密钥管理与托管: 控制链上资产和管理功能特权访问的私钥、签名设备和钱包接口,以及围绕它们的操作流程。
  3. 治理与升级: 允许协议随时间变化的机制:投票合约、时间锁、升级代理,以及用于推送新代码的部署流水线。
  4. 跨链与集成: 连接不同链上协议或将它们与其他链上系统组合的桥接层、消息层、第三方库和上游协议依赖。

大多数机构的风险登记簿通过时间点代码审计来处理第一层。这虽然是必要的,但并不充分。如果没有跨所有四个层的持续安全,机构将无法对目前大多数重大损失发生的攻击面保持可见性。

监控将事件响应与事件预防区分开来

有令人信服的案例表明,实时监控能够改变安全事件发生过程中的结果。2022年8月,一名攻击者向彩虹桥合约提交了欺诈性区块。一个自动化的守卫者在31秒内对其发起挑战,区块被回滚,用户资金未受损失。2023年7月,一名独立的搜索者在 Curve 的 CRV/ETH 池中抢先于 Vyper 重入攻击者执行交易,在攻击者之前提取了540万美元,并于当日归还资金。2024年8月,MEV 搜索者抢先于 Ronin Bridge 的投票阈值漏洞利用,追回了约1400万美元,并且在首次可疑链上行动发生后40分钟内,桥接被暂停。

在链上金融中,攻击者和防御者都在相同的透明环境中运作。能够良好监控该环境的机构可以检测、响应,并在某些情况下挽回本不可恢复的损失。

一个最小可行监控姿态应映射到这四个层:

  1. 在智能合约和协议层: 每一次特权函数调用,如暂停、恢复、费用变更和所有权转移;超出定义阈值的预言机价格偏差;显著偏离基线的异常资产流动;以及与关键协议合约的闪电贷交互。
  2. 在密钥管理和托管层: 每一次多签签名事件,需与签名设备完整性相关联;来自意外地点或时间的异常签名活动;以及签名者集合或访问控制配置的任何变更。
  3. 在治理和升级层: 每一次升级交易需与上次审计的字节码进行验证;时间锁队列变更;以及任何紧急行动调用。
  4. 在跨链和集成层: 每一次跨链铸造需与源链上相应的销毁进行验证;以及跨集成协议依赖的健康因子。

告警路由与覆盖范围同等重要。信息性事件、异常事件和确认的安全事件各自需要不同的响应者和不同的响应时间。

机构参与DeFi的框架

对DeFi安全的质疑是健康的。但对此质疑的正确回应,是采用一种与活动风险状况相匹配的结构化参与方法。以下是我们建议机构考虑的路径:

  • 从全栈风险评估开始。 在部署资本或集成协议之前,金融机构需要对区块链技术格局以及所选堆栈在其间的位置拥有独立视图。可以将其视为链上基础设施的 Gartner 层:一项权威、供应商中立的评估,涵盖机构正在考虑的协议、供应商和集成,并映射到其在合约、密钥管理、监控工具、治理结构和事件响应准备方面的现有控制。OpenZeppelin 的技术风险评估正是为此设计,为机构提供支持监管提交和内部治理所需的记录基础。对于安全旅程较早的机构,区块链操作安全评估提供了对链下攻击面(2024至2026年间大多数机构损失的来源)的结构化评估。
  • 安全远不止代码审计。 威胁面远远超出合约代码,延伸至围绕它的操作基础设施。涵盖多签配置、密钥托管、部署流水线和特权操作监控的操作安全评估,正日益成为机构发现最重要漏洞的领域。OpenZeppelin 的区块链操作安全评估提供了对链下攻击面(2024至2026年间大多数机构损失的来源)的结构化评估。
  • 在上线前部署持续监控。 链上活动是透明且永久的。等到事件发生后才部署监控,这不是风险管理策略。OpenZeppelin 可以为你的机构部署和管理定制化的持续监控,基于久经考验的开源基础设施构建,并根据你的特定堆栈和风险参数进行配置。
  • 围绕DeFi特定场景构建事件响应剧本。 传统的事件响应剧本无法清晰映射到链上事件。谁拥有预先授权的暂停权限?对于市场参与者能实时看到的公开区块链事件,通信计划是什么?取证捕获协议是什么?这些都需要在事件发生前以及在向监管机构报告时得到解答。OpenZeppelin 的事件响应与应急培训直接与你的团队合作,构建并压力测试链上操作所需的剧本、治理流程和通信协议。

机遇是真实的,窗口期也是真实的

金融机构必须能够证明其链上堆栈是持续安全的,否则无法赢得客户信任或满足监管要求。过去两年中最大的损失发生在两次审计之间发布的代码中,或者通过任何审计都无法捕捉到的操作失误。时间点安全姿态已不再足够。

全球金融的下一个时代将建立在区块链基础设施之上。现在建立正确安全基础的机构,将成为客户信任和监管批准的机构。OpenZeppelin 持续安全计划正是为此设计:覆盖整个安全生命周期的始终在线保护,达到监管机构和风险委员会所需的机构标准。

如果你正根据近期事件重新审视你的安全姿态,请联系我们

正在寻找安全合作伙伴?

与专家交流 →

常见问题

参与DeFi的金融机构面临的最大安全风险是什么?

四大主要风险类别是:智能合约漏洞;密钥管理和签名基础设施故障;治理与升级攻击;跨链、集成和依赖利用。大多数机构专注于第一和第二类,而严重低估了另外两类——后者正是2024至2026年间大多数重大损失的来源。

Bybit黑客事件是如何发生的?对机构安全意味着什么?

攻击者通过对Safe{Wallet}基础设施的供应链攻击攻破了Bybit的钱包签名界面,而非智能合约漏洞。在两周多的时间里,他们渗透了基础设施并向签名UI注入了恶意JavaScript,导致签名者授权了他们无法准确看到的交易。这表明签名基础设施和前端完整性与代码审计同等重要。

什么是链上监控?为什么金融机构需要它?

链上监控实时追踪区块链活动,标记特权函数调用、升级交易、预言机偏差和异常签名行为。由于区块链活动是透明的,监控良好的机构可以在攻击发生时检测到它,并且根据已有案例,能足够快地响应以防止损失。

对于参与DeFi的金融机构来说,一次智能合约审计就足够了吗?

不够。审计是必要的基线,但无法覆盖协议周围的操作基础设施:密钥托管、多签配置、签名界面完整性或事件响应。成熟的安全姿态需要将审计与持续监控和操作安全评估相结合。

机构DeFi风险登记簿应包括哪些内容?

至少应包括:访问控制利用、预言机操纵、闪电贷攻击、签名基础设施攻破、治理和升级风险,以及桥接漏洞。每种场景应映射到可观测的监控信号、指定的响应者和应急预案,而不仅仅是理论条目。

OpenZeppelin如何帮助金融机构管理DeFi安全风险?

OpenZeppelin 提供跨所有四个风险层的全栈安全:持续安全监控、将机构控制与完整威胁格局映射的风险评估、涵盖密钥托管和签名基础设施的操作安全评估,以及智能合约审计。OpenZeppelin 已与 DTCC、WisdomTree 和 Fidelity 等机构合作,保障其链上金融基础设施的安全。

  • 原文链接: openzeppelin.com/news/fo...
  • 登链社区 AI 助手,为大家转译优秀英文文章,如有翻译不通的地方,还请包涵~

相关文章

0 条评论