鄧力文 - 加密項目不停被駭 | Exchange²
鄧力文
3小時前
字體大小
在加密世界裏,「被駭」似乎早已成為一種傳統工藝。從早年的Mt.Gox,到今日的Balancer,這條產業鏈上唯一穩定不變的,或許就是黑客永遠比審計公司快一步。每隔幾個月,總有新的安全事件上演,規模從幾十萬到上億美元不等,而社群的情緒也早已從震驚轉化為又來了。
今年11月初,老牌DeFi協議Balancer成為最新受害者。黑客透過一個細微的邏輯漏洞,利用協議的manageUserBalance函數,偽造了「費用歸屬」的錯誤帳本,成功將金庫資產據為己有,最終損失高達1.28億美元。
更令人錯愕的是,這個漏洞並非只存在於Balancer本體,而是透過其可組合架構感染了多達27個分叉協議,如同一場代碼層面的傳染病。過去我們讚美DeFi的「可組合性」,因為它讓創新像搭積木一樣自由。但當這些積木裏藏着一顆螺絲鬆脫的地雷時,整座城堡也可能在瞬間倒塌。
去中心化陷兩難
這一次,連多條公鏈上的協議都受牽連,從以太坊到Berachain、Arbitrum、Sonic,無一倖免。所謂「一行代碼救天下」,如今變成「一行代碼毀天下」。令人難以接受的是,Balancer V2曾接受過4間安全公司、合共11輪審計。
換句話說,這段代碼經過的「體檢次數」比一般人一年驗血還多。然而,漏洞依舊被忽略。這說明了甚麼呢?大家自己想想。當系統的邏輯錯誤深藏在協議互動之間,沒有任何自動化工具能真正理解那層複雜意圖。審計能找出拼錯的字母,卻未必能理解一句話背後的語病。
這場事件還暴露出另一個更深層的矛盾:當一條公鏈面臨重大損失時,是否該堅持「代碼即法律」?還是該選擇人工干預?Berachain為挽救用戶資金,選擇暫停整條鏈並回滾交易,成功追回約1200萬美元,但也因此被批評「不再去中心化」。
鄧力文
