DeFi 安全形势：您需要了解的 50 家关键参与者

TL;DR

安全问题仍然是 DeFi 面临的一项严峻而持续的挑战，每年损失数十亿美元。
DeFi 协议的安全措施应贯穿其整个生命周期，确保从启动前到启动后的固有和运营方面的安全。实施预防战略和应急计划以减少潜在攻击至关重要。
以代码审计为核心的启动前安全已成为社会共识。然而，尽管出现了启动后安全解决方案（如攻击监控和拦截），但其重要性尚未得到业界的充分认识。
不断改进安全实践和向安全第一的文化转变对于保护用户资产和增强生态系统的信任度至关重要。

简介

随着 DeFi 不断彻底改变金融环境，安全性仍然是生态系统中的一个重大问题，每年造成的损失高达数十亿美元。

根据Chainalysis的数据，2023 年 DeFi 黑客造成的损失超过 11 亿美元。虽然这一数字与2022年相比有所下降，但2023年的DeFi黑客攻击出现了多种新趋势。例如，多年来一直安全运行的著名协议，如Curve 和KyberSwap都遭到了黑客攻击。此外，针对基础设施漏洞的复杂黑客攻击也已曝光，例如Flashbots relay。

根据安全事件仪表盘的数据，2024 年上半年发生了 50 多起损失超过 10 万美元的黑客攻击事件。

安全是 DeFi 应用繁荣和大量采用的关键因素。这是因为 DeFi 协议管理着数十亿美元的用户资产，任何针对这些协议的黑客攻击都会给受影响的用户造成重大损失。虽然在某些情况下，被黑客攻击的资金可以（部分）追回（如欧拉安全事件），但我们不能指望每次都这样。每次攻击都会削弱人们对 DeFi 的信心。

尽管已经提出了多种方法来增强 DeFi 的安全性，但仍有很大的改进空间。从积极的方面看，代码审计已成为确保安全的社区共识。大多数协议在发布前都会进行代码审计，这有助于减少智能合约中的漏洞造成的攻击面。然而，仅靠代码审计远远不足以解决所有安全问题。它无法防止因智能合约升级、配置更改以及不同协议之间的运行时依赖关系而引入的漏洞所导致的黑客攻击。由于这些局限性，一些协议采用了更积极主动的解决方案，如运行监控或攻击检测系统。

在本博客中，我们将通过追踪协议在不同阶段的安全历程（从发布前阶段到运行阶段，再到攻击响应）来探索 DeFi 安全格局。我们将详细阐述各种类型的安全措施，并重点介绍每个阶段的主要供应商（产品），讨论它们的优缺点。我们希望我们的见解能帮助社区更好地了解技术现状，更重要的是，激发未来的创新解决方案。

DeFi 安全格局

DeFi 协议的安全措施必须涵盖其整个生命周期，从发布前阶段到发布后阶段，确保协议的内在安全和运行安全。此外，还必须制定预防措施和应急计划，以应对潜在的攻击。为帮助读者了解现有的解决方案，我们将 DeFi 安全供应商（产品）分为以下几类。

启动前安全

该类别包括在启动协议前采取的安全措施，包括代码审计、正式验证和安全测试。

代码审计服务和竞赛

代码审计是社会上公认的确保协议安全的一种安全做法。在此过程中，安全公司将以半自动方式对代码进行审核，即自动扫描代码中的常见漏洞，并人工审核代码中的复杂漏洞。具有代表性的公司包括 OpenZeppelin、ChainSecurity、BlockSec 等。

此外，还有审计竞赛平台，其审计方式与安全审计公司不同。这些平台发起审计竞赛，让社区中的安全研究人员参与审计竞赛，并向发现协议中问题的人发放奖励。当然，这些平台在评估严重性的方式、分配奖励的算法以及安全研究人员参与的标准方面可能会有一些细微的差别。此类平台包括 Code4rena、SHERLOCK、Cantina 和 Secure3。

代码审计（和竞赛）是协议安全的主要防线。然而，它有实际的局限性，这也解释了为什么许多经过知名公司审计的协议仍会被黑客攻击。

首先，静态代码审计无法全面评估协议依赖性引起的安全问题，特别是由于 DeFi 协议的可组合性。
其次，在代码审计过程中，有些问题的安全影响被低估了。例如，精度损失是一个常见问题，可能会被审计人员和协议忽略。直到Hundred Finance和Channels Finance事件发生后，其安全影响才被社区充分认识到。
最后但并非最不重要的一点是，高质量的代码审计仍然是一种著名的稀缺资源，需要精通安全、金融和计算机科学的多学科人才。目前，很少有大学能持续、大规模地提供此类人才。因此，协议可能会由不具备资质的公司进行审计。

形式验证

"形式化验证是指使用数学的形式化方法，证明或反证一个系统在某种形式化规范或属性方面的正确性"。由于形式验证可以证明系统的正确性，因此已被应用于 DeFi 协议。具体来说，它可以确保 DeFi 协议的行为满足形式规范。DeFi 协议形式化验证产品的代表是 Certora 开发的 Prover。开发人员提供规则（规范），Prover 会将结果与规则进行比较，通过探索每一种可能的程序状态来识别错误。

形式验证最有前途的地方在于它能从数学上证明 DeFi 协议的正确性。然而，在实践中，它仍有一些局限性，阻碍了它的广泛应用。

首先，规范应由开发者提供，这就要求开发者对协议的预期行为有一个记录详尽的规范。考虑到大多数开发人员都不是这方面的专家，要做到这一点并不容易。
其次，协议的频繁升级可能需要更新规范和重新评估协议。有些协议可能耗费不起时间和精力。

不过，协议，尤其是尚未经过实战检验和管理大量用户资产的新协议，应进行正式验证。然而，提高正式验证的可用性和采用率仍是一项持续的挑战。

安全测试

安全测试是指使用测试用例发现协议中的错误的过程。与用数学方法证明协议正确性的形式验证相比，安全测试通常使用具体输入，而不是形式验证中的符号输入，因此效率更高，但不太健全。

Foundry 是目前流行的智能合约开发和测试框架之一。开发人员可以在 Foundry 中运行测试。它还提供对 DeFi 协议执行模糊测试、不变性测试和差分测试的功能。其他安全测试工具包括 Tenderly 和 Hardhat。

启动后安全

该类别包括协议启动（或在主网上存活）后采取的安全措施，包括漏洞赏金、攻击检测和运行监控。

漏洞悬赏

漏洞悬赏计划在协议和安全研究人员之间架起了一座桥梁。其基本概念是激励研究人员报告零日漏洞以换取奖励。具体来说，协议可以在漏洞悬赏平台上列出自己的悬赏，详细说明悬赏范围和报告漏洞的奖励金额。Immunefi是一个具有代表性的 Web3 漏洞悬赏平台。

攻击检测

攻击检测平台扫描交易，找出恶意交易。具体来说，这些平台审查与协议交互的交易是否存在恶意行为。如果出现这种交易，就会触发警报。

例如，BlockSec Phalcon 扫描交易，并采用基于行为的检测引擎来检测恶意活动（如恶意合约或提议）。把它想象成一个虚拟安全卫士，观察金融交易的每一个步骤，寻找任何可疑行为。它从这些交易中提取行为模式，就像侦探分析线索一样，然后使用金融模型（类似于银行用于检测欺诈的模型）来识别潜在的攻击。类似的系统包括Hypernative 和Hexagate 提供的产品。此外，Ironblocks 的Venn Security network提供了一种分散式基础设施，可将多个来源的检测结果结合在一起。

运行监控

运行监控框架为 DeFi 协议提供了一种实现运行安全的方法。例如，DeFi 协议需要了解管理密钥的变更、执行智能合约的部署和升级，以及自动扫描拉取请求是否存在安全漏洞。OpenZeppelin Defender 提供了一个平台，允许开发人员安全地编码、部署和操作智能合约。BlockSec Phalcon 可以监控与合约升级、安全钱包交易创建、新签名与执行、访问控制和治理相关的风险。Forta Network拥有一个基础设施，可让用户构建自己的机器人来监控自己的协议，或订阅现有机器人以获取网络钓鱼或威胁警报。

攻击响应

该类别由攻击发生时触发的安全措施组成，包括攻击拦截、自动行动、作战室、根本原因分析和攻击者资金流跟踪。

在 "攻击响应 "的五项措施中，攻击阻断尤为突出，因为它可以让项目团队提前部署预防措施，在攻击实施前成功阻断攻击，将损失降至零。自动响应平台也有助于减少攻击造成的损失。建立作战室、进行根本原因分析和跟踪被盗资金都是在攻击发生后采取的被动措施。虽然这些策略可以减轻一些损失，并有助于防止今后发生类似的攻击，但损失可能已经发生，要挽回可能很困难。此外，对项目声誉造成的损害以及由此导致的用户信心丧失也可能非常严重。风险无处不在，而且往往无法控制，但选择部署先发制人的防御措施是完全可以做到的，也是非常值得推荐的。

攻击拦截

在实际打击黑客攻击时，仅检测攻击是不够的。这是因为，如果没有自动阻止黑客攻击的能力，人工响应就不够快。在某些情况下（下表中的KyberSwap、Gamma Strategies 和 Telcoin），协议需要几分钟甚至几个小时才能采取人工措施，这对于挽救协议中的资产来说为时已晚。在最近对 Velocore 和 Rho 的黑客攻击中，整个Linea 和Scroll 链分别被暂停，这引发了对 L2 链中心化的担忧。

攻击阻断是自动防止黑客攻击的能力，需要两项关键技术：早期检测和黑客攻击自动前置。早期检测是指系统能在攻击交易在区块链上最终完成之前，特别是当它们仍在内存池中等待处理时，识别出攻击交易。攻击前置是指在攻击交易之前在链上放置一个交易，以暂停协议，从而在攻击执行之前有效地阻止攻击。

在这一类产品中，BlockSec Phalcon是唯一拥有这些关键技术的产品。黑客发起攻击交易后，Phalcon 的攻击监控引擎可以立即检测到该交易，向用户发送攻击警报，并自动前置运行以暂停协议，从而将损失降至零。其关键技术已经过二十多次超过 2000 万美元的救援的实战检验。

自动行动

Phalcon](https://blocksec.com/phalcon)、Hexagate和Hypernative等平台也能在攻击发生时自动响应。

用户在订阅此类平台后，可以针对各种协议风险设置监控和响应措施。如果交易符合监控规则，系统就会自动启动用户预先设定的应对措施（如暂停协议），从而减少损失。不过，有些平台没有攻击检测引擎，系统无法直接识别攻击交易并通知用户。相反，它需要用户自定义在哪些条件下交易可被视为攻击。由于攻击交易的特征非常复杂，而用户（通常是合同开发人员）可能不具备足够的安全知识，这对他们来说是一个相当大的挑战。

作战室

当协议受到攻击时，需要建立作战室。这可以帮助协议了解发生了什么，在社区中共享情报，并利用资源采取进一步行动。这通常需要不同方面的专家参与。

SEAL 911 是一个项目，旨在 "为用户、开发人员和安全研究人员提供一种无障碍的方式，在紧急情况下与一小群高度可信的安全专业人员建立联系"。可以通过 SEAL 911 Telegram Bot 与它取得联系。如果项目受到黑客攻击，可以建立一个作战室来协助协议的执行。

根源分析

当攻击发生时，协议需要了解根本原因，例如智能合约中的漏洞以及漏洞是如何被利用的。这就需要一些有用的工具来分析攻击交易。Phalcon Explorer、OpenChain 和 Tenderly可用于此目的。

资金流跟踪

资金流追踪是在区块链上追踪攻击者的初始资金和攻击收益，以找到相关地址和实体。如果资产流入中心化实体（如中心化交易所和其他机构级实体），可联系执法部门帮助冻结资金。

有几家公司和工具属于此类，包括 Chainalysis、TRM Labs、ARKHAM、ELLIPTIC、MetaSleuth 等。例如，BlockSec 开发的MetaSleuth可以通过丰富的钱包地址标签自动追踪不同链上的资金。ARKHAM有一个社区，该协议可以悬赏调查，激励社区帮助追踪攻击者的资金。

安全教育资源

知情的头脑构建更强大的防御。除了上述安全供应商和产品外，DeFi 安全还有另一个重要组成部分：教育平台。这些平台为 DeFi 从业人员和用户了解安全见解、提高安全意识和发展安全技能提供了重要资源。它们在促进 DeFi 安全方面发挥着至关重要的作用。我们对这些教育平台表示感谢，并列举了几个值得一提的例子。

sξcurξum：一个专注于以太坊安全的 Discord 社区。它还举办每月一次的智能合约安全知识竞赛--"Secureum RACE"。
安全事件仪表板](https://app.blocksec.com/explorer/security-incidents)：该平台收集所有造成 10 万美元以上损失的攻击事件，详细列出损失、受影响链、漏洞、根本原因和 PoC。
Rekt：Rekt 被称为 DeFi 新闻界的暗网，对生态系统中的漏洞利用、黑客攻击和骗局进行深入分析。
RugDoc：一个评估项目风险的 DeFi 安全和教育社区。它还有一个名为 RugDocWiKi 的平台，介绍 DeFi 生态系统和技术。
DeFiHackLabs：一个拥有 2,600 多名成员和近 200 名白帽黑客的 Web3 安全社区，旨在为 Web2 和 Web3 安全专业知识搭建桥梁。
Solodit：一个汇编各 Web3 审计公司历史报告的平台，是智能合约审计人员的宝贵资源。
Ethernaut：一个基于 Web3/Solidity 的游戏，玩家在游戏中识别以太坊合约漏洞，类似于 CTF 挑战赛。

结论

安全问题仍然是 DeFi 生态系统持续面临的严重威胁，每年造成数十亿美元的损失。目前，大多数安全措施都是在发布前阶段执行的。然而，安全问题没有灵丹妙药，在 DeFi 协议的整个生命周期中都应采取不同的方法。我们预计，该行业将采用启动后安全解决方案，对攻击进行监控，更重要的是自动阻止攻击。我们期待在生态系统中建立安全第一的文化，以全面保护用户的资产。