更高赏金难阻黑客:主动安全审计才是关键

本文探讨了加密货币领域中漏洞赏金计划的局限性,认为仅靠提高赏金无法阻止黑客攻击。文章对比了协议资金与用户总锁仓价值在安全预算上的差异,分析了资本效率问题,并提倡将年度重新审计作为协议安全的第四步关键措施,以实现更主动的安全防护。

更高赏金难阻黑客

漏洞赏金是被动的,而安全是主动的过程

图片来源 Thomas Bormans / Unsplash

尽管项目方总可以选择做得更多,但如今业界普遍理解,加密货币安全有三个关键步骤:编写测试以确保在开发过程中发现基本错误;在部署前使用审计和竞赛进行全面审查;设立漏洞赏金计划,以激励和奖励那些通过负责任地披露漏洞来防止被利用的研究人员。这些最佳实践的普及极大地减少了最终上链的漏洞数量,迫使攻击者将精力集中在链下漏洞上,例如私钥盗窃或基础设施泄露。

然而,时不时地,一个经过彻底审计并提供可观漏洞赏金的协议仍会被黑,其后果不仅影响协议本身,还会影响对整个生态系统的信任。最近的 Yearn 和 Balancer V2 攻击事件,以及今年早些时候的 Abracadabra 和 1inch 攻击事件都表明,即使是经过实战考验的协议也不安全。加密货币行业是否有办法避免这些攻击,或者这只是去中心化金融的必然结果?

评论者们常常建议,更高的漏洞赏金本可以保护这些协议,但即使不考虑经济现实,漏洞赏金也是一种被动的安全措施,它将协议的命运交到白帽黑客手中,而审计则代表协议主动采取措施确保自身安全。更高的漏洞赏金无法阻止黑客攻击,因为这仅仅是加倍押注于白帽黑客会比黑帽黑客先发现漏洞。如果协议想要保护自己,它们需要主动进行重新审计。

金库资金 vs. 总锁仓价值

有时,攻击者同意归还大部分被盗资金,以换取保留一小部分(通常是 10%)。遗憾的是,业界将这种情况称为“白帽赏金”,这引出了一个疑问:为什么协议不干脆通过其漏洞赏金计划提供相同的金额,从而避免谈判的麻烦?然而,这种直觉混淆了攻击者可以窃取的资金与协议可以动用的资金。

尽管协议似乎可以为安全目的动用这两部分资金,但协议拥有从其自身金库支出资金的合法权力,却没有动用用户存入资金的合法权力。用户也极不可能事先授予协议这种权限,只有当情况危急时(即存款人必须在损失 10% 存款或损失 100% 存款之间做出选择),才会存在一种默示协议,即协议现在有权在谈判中利用存款。换句话说,风险根据总锁仓价值(TVL)的规模而变化,但安全预算却没有。

资本效率

即使协议资金充足(无论是因为拥有庞大的金库、实现盈利,还是因为制定了安全费用政策),如何为了安全目的分配这些资金的问题仍然存在。与投资于重新审计相比,提高漏洞赏金在最好情况下是资本效率极低,在最坏情况下则会在协议和研究人员之间引入不一致的激励。

如果赏金随总锁仓价值增加,那么当研究人员怀疑协议的 TVL 会增长且漏洞被重复发现的可能性很低时,他们就有明显的动机去保留关键漏洞。这种动态最终使研究人员与协议直接对立,损害了用户的利益。仅仅提高关键漏洞的赏金支付也不太可能产生预期效果;自由职业研究人员的数量庞大,但将大部分时间投入到漏洞赏金并且有足够技能在复杂协议中发现漏洞的人数要少得多,而这些精英研究人员将时间集中在最有可能为他们的时间投入带来回报的赏金上。对于大型的、经过实战检验的协议来说,由于黑客和其他研究人员持续的关注,发现漏洞的概率感觉微乎其微,以至于没有哪个金额的赏金值得他们付出努力。如果这样的金额真的存在,它将会高得不切实际。

与此同时,从协议的角度来看,漏洞赏金代表着一笔预留用于支付单个关键漏洞的资金。除非协议愿意赌绝对不会有任何关键漏洞被发现,同时又在流动性方面误导研究人员,否则这笔钱不能用于其他地方。与其被动等待研究人员发现关键漏洞,同样的金额可以用来资助数年内的多次重新审计。每次重新审计都能保证得到顶级研究人员的关注,并且不会人为地局限于单一发现,同时也使研究人员和协议之间的激励保持一致:如果协议被利用,双方都将遭受声誉损害。

现有先例

在软件和金融行业,每年更新的审计是一种久经考验的可靠做法,提供了最佳方式来评估公司是否跟上了不断演变的威胁环境。B2B 客户使用 SOC 2 Type II 报告来判断供应商是否保持了适当的安全控制,PCI DSS 认证表明公司正在妥善维护敏感的支付信息,而美国政府要求 FedRAMP 认证,为任何能接触政府信息的人员保持高标准。

尽管智能合约本身是不可变的,但其环境并非如此。配置设置可能随时间变化,依赖项可能升级,先前被认为安全的代码模式实际上可能有害。当一个协议接受审计时,这是对其在审计时的安全状况的评估,而不是对未来协议将保持安全的前瞻性保证。更新评估的唯一方法就是进行重新审计。

到 2026 年,加密货币行业应将年度重新审计作为确保协议安全的第四个步骤。拥有大量总锁仓价值的现有协议应对其部署进行重新审计,审计公司应提供专注于评估整个部署的专业重新审计服务,并且生态系统应开始集体将审计报告视为其本质:一种可能过时的、对特定时间点安全状况的评估,而非永久性的安全保证。

感谢 Dickson Wu、Josselin Feist、cts (@gf_256)、Andrew MacPherson、pcaversaccio、Jack Sanford 和 David Desjardins 的反馈。

comments powered by Disqus
© 2020 - 2026 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次