Certora安全如何在2025年塑造DeFi风险管理

来源：CryptoNewsNet 原文标题：Certora安全如何塑造2025年的DeFi风险管理 原文链接：

DeFi进入安全优先时代

到2025年，去中心化金融的链上总价值达到2.5万亿美元，标志着规模和复杂性的决定性跃升。然而，这一增长也暴露出新的漏洞、新的攻击路径以及区块链生态系统中安全态势的结构性缺陷。

各公司逐渐认识到，安全不仅仅是预发布的漏洞排查。更重要的是，确保系统在升级、扩展到新市场以及支持不断变化的用户需求时依然保持稳健。

保障顶级DeFi协议的安全

2025年，Certora加深了其作为以TVL衡量的领先协议核心安全合作伙伴的角色。前20名协议中的14个和前10名中的7个不仅依赖公司进行审计，还进行长期合作。

总体而言，**70%**的前20名DeFi协议是Certora的客户。此外，**70%**的前10名通过持续的长期安全计划与Certora合作，而非一次性评估。

关键的长期安全合作伙伴

多家蓝筹项目与Certora保持多年的合作关系，彰显了对持久防御的需求。截至2025年，名单包括：

• Aave：超过5年
• Compound：超过5年
• Sky：超过4年
• Morpho：4年
• Silo：4年
• Safe：超过3年
• EigenLayer：超过3年
• Lido：3年
• Stellar：2年

仅在2025年，已有44个新协议开始与Certora进行安全合作。这些合作共同帮助Certora在2025年保护了1965亿美元的资产，巩固了其在DeFi风险管理中的核心地位。

跨链与多层级的大规模安全保障

现代DeFi协议很少在单一链或单一执行环境中运行。2025年，Certora审查了数十万行代码，覆盖更广泛的web3生态，采用跨链安全审查实践，涵盖每个主要技术栈：

• EVM：200,700行代码
• Solana：206,600行代码
• Sui：33,000行代码
• Aptos：16,300行代码
• NEAR：6,000行代码
• 区块链基础设施：90,000行代码
• 移动应用：14,000行代码
• 链下系统：36,000行代码

这种广度体现了“严肃的安全必须匹配DeFi的多样性”的理念。Certora专注于理解系统在压力下的表现，无论其链、语言或时间跨度如何。

超越TVL的真实价值衡量

总锁仓价值（TVL）仍是关键指标，但不能完全反映风险所在或风险的缓解方式。Certora在2025年的活动横跨基础设施、治理机制和面向用户的应用：

• 通过设计审查和协议不变量验证，保障资产达900亿美元，这些验证是基于数学证明的正确性，而非假设
• 完成150次跨链、跨环境和系统层级的审计
• 识别并在部署前阻止**720+**个漏洞
• 99%的问题在上线前由团队修复
• 在发现严重风险后，暂停了11个协议的部署

这些成果显示，安全工作已从简单的“打钩”转向真正影响协议走向、上线决策和用户保护的关键环节。

从未发生的黑客事件

衡量影响的一个方式是评估在正式上线前被阻止的事件。2025年，Certora发现了不同严重等级的漏洞：

• 80个关键漏洞
• 180个高危漏洞
• 360个中等漏洞

这些都不是表面问题，而是可能导致破产、用户资金永久冻结、无法清算的债务、治理被操控，以及数月后才显现的经济漂移的缺陷。

在极端案例中，一个协议包含多达80个不同问题，显示复杂系统在实际环境下的脆弱性。此外，Certora还在已部署系统中发现了10个活跃漏洞，强调在上线后持续预防链上严重漏洞的重要性。

风险前沿的转移

2025年，许多最具影响力的失败并非源于明显的语法错误，而是源于经济假设的缺陷、跨系统交互以及微妙的协议逻辑。

Certora所缓解的问题包括：一项数学错误，可能将有效利率膨胀高达2000倍，以及与以太坊升级相关的清算失败模式——在每笔交易的gas限制下，可能导致无法清算的仓位。

此外，团队还发现了违反核心不变量（如份额率单调性）的舍入问题。这些问题不是简单的模式匹配可以捕捉的，需要深入理解协议、经济安全分析以及链上变化的密切跟踪。

设计以实现长期偿付能力

2025年，Certora大量工作集中在客户的长期经济偿付能力上。审计不仅验证某一时点的状态，而是考察状态转移在数年甚至数十年内的演变。

通过这种视角，团队发现了多项会在未来显现的会计缺陷，包括：持续的利息过度支付、没有直接漏洞的破产不变量，以及不断累积的“幽灵债务”，这些都永久扭曲了协议的经济模型。

虽然一些系统在静态检查中看似正确，但在模拟长期行为后崩溃。这一发现强调了动态分析在可持续性中的重要性。

正式验证为何成为核心

随着资金规模的扩大，协议越来越追求正确性证明，而非仅仅信心。在2025年，Certora的正式验证审计已超越单一函数检查，覆盖必须始终成立的系统级属性。

许多这些属性涉及安全性和活性保证，关系到用户信任。团队明确关注系统级不变量，一旦定义并验证，就能增强协议最关键的假设，防范边界情况。

这一发展也标志着行业的一个关键转折点，越来越多的团队将形式方法融入开发流程，而非事后补充。

形式验证属性的示例

2025年，Certora为多个高知名度协议和组件提供了全面的证明：

• Aave v4：份额率单调；用户操作不能使健康账户变差；无抵押即无债务
• Euler Earn & Kamino：协议偿付能力已被正式证明
• Silo：供给和提取队列的一致性得到平衡
• Stellar：过期的授权不能重复使用

这些例子展示了形式方法和协议不变量验证如何将抽象假设转化为机器可检验的保证，应用于复杂系统。

扩展研究引擎

这些成果背后是一个庞大的研究团队。2025年，Certora将安全研究团队扩大到40名专家，其中包括25名博士，专注于形式方法、密码学和系统设计。

公司还建立了四个专门的研究团队，实现专业化，同时保持跨协议的知识共享。此外，每次审计由顶尖研究人员主导，配合形式验证工具、自动分析和反复的人工审查。

这些团队与客户建立了长期合作关系，跨多个审计、协议版本和新产品发布持续合作。因此，审计员通常会在部署后继续参与，审查上线设置、初始化路径和治理流程。

Certora安全在2026年及未来的战略角色

到2025年底，已清楚最成功的协议不仅仅是快速上线功能的项目。它们早期就与安全专家合作，将深度验证融入开发周期，并将安全视为核心基础设施，而非合规步骤。

此外，2025年的数据表明，这一模式正在重塑DeFi项目的风险管理预期。从多链代码审查到复杂的不变量证明，行业正趋向更高的标准。

展望2026年，行业计划在此基础上继续发展，结合研究、工具和实战经验，将高保障安全作为每个主要协议的基本要求。

总之，2025年证明了：当安全被工程化而非临时凑合时，DeFi可以安全扩展，保护用户，并支持全球加密经济的长期增长。