DeFi 攻击促使开发者加强应急控制

Andre Cronje（安德烈·克罗尼），Flying Tulip 的创始人，认为许多人所说的去中心化金融（DeFi）中有很大一部分已经不再是严格意义上的 DeFi。Cointelegraph 的一次采访中，Cronje 表示，许多协议已经演变为“运行盈利性业务的团队”，其具备可升级合约、链下基础设施以及正式的运营控制，而不再只是纯粹不可变的链上代码。

Cronje 认为，这种转变会改变整个领域的安全模型。早期 DeFi 依赖不可变的智能合约，而更新的系统越来越依靠代理升级、多重签名控制、基础设施提供商以及人类响应机制。“我认为我们今天拥有的——包括 Flying Tulip 在内——已经不再是 DeFi。这不是去中心化金融。这是运行盈利性业务的团队，”Cronje 如此宣称。

这些言论出现在行业正面临 4 月一波利用事件的背景之下，而这波事件将安全讨论从代码审计扩展到了运营风险问题。Flying Tulip 最近本身还推出了提款熔断器，旨在在出现异常资金流出时延迟或排队提款。该举措是在围绕 Drift Protocol 以及相关再质押平台 Kelp 的一系列备受关注的事件之后做出的，这些事件共同凸显了数以亿计美元量级的损失规模。

据 Cointelegraph 的报道，DeFi 领域一直在消化估计约 $280 million 的 Drift Protocol 损失，以及与 Kelp 情景相关的约 $293 million 损失。尽管这些数字并非衡量风险的唯一标准，但它们推动了更广泛的争论：在同时具备链上机制与链下依赖的环境中，应如何保障用户资金。

关键在于，这场讨论不仅聚焦代码，也聚焦治理、升级路径，以及整个威胁模型的韧性——涵盖为已部署合约提供支持的人、流程以及技术栈。

关键要点

DeFi 的安全范式正从不可变的链上代码扩展到包括升级流程、多重签名治理，以及链下基础设施作为关键风险因素。

像熔断器这样的紧急控制措施，越来越被视为潜在的安全网，但这也引发了关于中心化风险以及引入新攻击面可能性的担忧。

行业在自动化防护与人为介入之间的恰当平衡上存在分歧；目标依然是尽可能减少以人为核心的脆弱性，同时保障资金安全。

监管机构与传统金融观察者将这种演变视为培养韧性的训练场，升级以及跨项目协作正在塑造一个更稳健的 DeFi 生态系统。

从实际层面来看，用户与构建者应关注治理、时间锁和升级控制如何被实现，以及这些机制如何与跨链互操作性和桥接安全性相互作用。

安全格局的演变：从代码到控制

在 Cronje 的判断中，DeFi 世界已从单一地关注审计不可变合约，转向思考究竟是谁可以更改代码、变更如何被批准，以及是否存在时间锁或多签批准来防范鲁莽或恶意的升级。他强调，审计检查仍然至关重要，但如果一个系统的治理与升级机制可能被遭受入侵或被恶意操纵的行为者利用，那么仅靠审计依然不足以应对。

“整个行业的关注点仍然非常集中在合约这一侧，而不是像 TradFi 那样的更多方面，”Cronje 告诉 Cointelegraph。他指出，近期的漏洞利用利用了传统 Web2 风格的弱点——基础设施访问、社会工程以及其他以人为为中心的路径——这证明安全必须超越代码审计。

为应对升级风险，Cronje 解释称，Flying Tulip 的熔断器更像是一种战略性暂停，而不是永久性封锁。其目的是“让我们有时间做出反应”以应对异常的资本外流。该系统设计为在一个窗口期内暂停提款——Flying Tulip 的配置大约是 6 小时，而对于地理分布受限、规模较小的团队来说可能更久。他将熔断器定位为多层防御中的一层，并与审计、时间锁以及分布式多重签名控制共同构成防线。

不过，行业对紧急控制措施的可取性与具体设计各不相同。Curve Finance 和 Yield Basis 的创始人 Michael Egorov 告诉 Cointelegraph，近期事件所体现的是中心化风险与链下依赖，而不是纯粹的合约漏洞。他警告称，如果熔断器所采用的机制赋予签署者在被攻破状态下修改代码或冻结提款的能力，那么熔断器本身也可能成为漏洞。

Egorov 主张 DeFi 的设计应当能够在不需要人工介入的情况下承受冲击。“DeFi 设计的目标应当是尽量减少以人为核心的失效点，而不是增加它们，”他说。在他看来，一个有韧性的系统即便在部分参与者被攻破的情况下，也应保持安全运行，从而降低对特权介入的依赖。

行业反应：韧性、中心化与未来之路

4 月的这些事件也引起了传统金融机构的参与与关注。Standard Chartered（渣打银行）发布了一份说明，将 Kelp 事件描述为 DeFi 正在经历的成长阵痛，而非致命缺陷。该行强调，来自 DeFi United 联盟的流动性总增量超过 $300 million，并提到仍在进行的升级——例如 Aave V4 和 Ethereum Economic Zone——旨在强化生态系统并降低对基于桥接的跨链流的依赖。

该行将对去中心化与链下依赖的高度关注视为一种自然演变：对一个仍处于成熟早期的领域而言，这是必然的过程。支持者认为，通过吸取这些经验教训，DeFi 可以随着时间推移提升运营韧性与用户保护，即便核心代码库依然是关键的关注点。

据 DeFi United 的联盟网站披露，其融资活动——已募集或承诺的金额超过 $321 million——反映出一种更广泛的推动：以协调资本与治理的方式来增强针对恢复情景的防御与流动性。对构建者与投资者而言，宏观层面的启示很清晰：DeFi 中的风险管理正在从一个纯粹以代码为中心的问题，转向一种更为整体的计划——将链上安全与强大的治理、事件响应以及跨链可靠性融合在一起。

对构建者与用户意味着什么

Cronje 所描述的转变对开发者、投资者与用户具有实际影响。首先，可升级性引入了一类新的风险，必须通过透明的治理、清晰的升级路径以及严格的访问控制来加以缓解。依赖代理模式或管理员密钥的项目，需要证明其在升级流程方面具备强健的披露与严谨的安全审查。

其次，对运营风险的不断强化提升了链下基础设施与第三方依赖的重要性。审计可以验证代码是否正确，但被攻破的基础设施提供商或成功的社会工程活动仍可能危及资金。基于这一现实，需要实现基础设施多元化、严格的访问管理以及冗余系统，以降低单点故障的风险。

第三，围绕熔断器的辩论突显了安全与中心化之间的矛盾。尽管暂停机制能够在极端事件中防止连锁损失，但它们也会引入一层可能被政治化或被滥用的中心化环节。如果不经过谨慎设计，中心化层就可能成为新的风险来源。许多构建者仍然认为，任何紧急控制都应当透明、可审计，并设有明确的、限时的约束，以限制滥用路径。

对于投资者而言，这些动态意味着需要重新校准风险模型。在未来几年中，最强的 DeFi 项目可能是那些能够展示全面治理架构、稳健的迁移与升级协议，以及明确的事件响应计划的项目：它们既要最大限度降低以人为核心的脆弱性，又要在保留用户访问权限与信任的同时运行。

下一步该关注什么

随着行业消化这些教训，观察者将继续关注新的安全框架如何演变。可以预期，仍会持续对熔断器、带时间锁的升级以及多方治理进行实验，其目的都是降低链上与链下两方面的风险。监管机构与传统金融参与者很可能会审查治理流程与运营控制，试图将可扩展的最佳实践制度化，以跟上行业增长。

读者应当关注主要 DeFi 协议如何在可升级性与不可变性之间取得平衡，以及桥接与跨链基础设施如何演变以尽可能减少单点故障。关于韧性的持续对话——涵盖代码、治理与运营风险——将决定哪些项目能获得更广泛的采用，以及行业从未来冲击中恢复的速度有多快。

本文最初发表于 Crypto Breaking News，题为《DeFi 漏洞利用促使构建者强化链上紧急控制》（DeFi Exploits Spur Builders to Harden Emergency Controls on Crypto Breaking News）——您的可信加密新闻来源，提供加密货币新闻、Bitcoin 新闻与区块链更新。