去中心化金融(DeFi)与安全危机
去中心化金融(DeFi)和加密货币领域正面临着严重的安全危机,黑客以惊人的速度从协议中窃取数十亿美元。仅在2025年上半年,加密货币的攻击损失就达到了21亿美元,几乎与2024年的总损失相当,行业有望打破以往的年度记录。
然而,在这场混乱中,另一种叙事正在浮现。漏洞赏金计划证明,激励道德黑客可以从根本上改变网络安全的经济学,使防御比攻击更有利可图。这个概念简单却具有革命性;协议不再等待恶意行为者利用漏洞,而是支付白帽黑客以优先发现和报告缺陷。
250亿美元的防御革命
DeFi协议在2024年因黑客攻击损失超过14亿美元,重大事件包括3亿美元的DMM漏洞和2.3亿美元的WazirX泄露。今年早些时候,Bybit遭遇了迄今为止最大的攻击,损失高达14亿美元。然而,Hacken的2024年报告显示,与2023年相比,DeFi损失减少了40%,这主要归功于安全措施的改善,包括更强大的漏洞赏金计划。
这种方法的有效性在协议通过战略性支付防止重大损失时得到了戏剧性的体现。历史上最大的漏洞赏金——由Wormhole支付的1000万美元,用于修复一个关键的桥接漏洞,可能避免了数十亿美元的潜在损失。Immunefi作为领先的Web3漏洞赏金平台,处于这一转型的中心。该公司已促成超过1.2亿美元的赏金支付,并声称防止了超过250亿美元的潜在黑客攻击,涉及500多个协议。
颠覆网络安全的经济学
“在2022年,一位白帽黑客在以太坊的Wormhole核心桥接合约中报告了一个关键漏洞。这个漏洞是一个可升级代理实现的自毁漏洞,可能导致用户资金的潜在锁定。”
Mitchell Amador表示,通过Immunefi主办的Wormhole漏洞赏金计划披露了这个漏洞,我们促成了1000万美元的支付,且没有用户资金损失。这是历史上最大的漏洞赏金——一笔改变人生的金额,作为激励黑客负责任地披露漏洞,而不是利用它们。
当您将其与黑帽黑客可能发现该漏洞后可能损失的数十亿美元进行比较时,这是一笔小额支出。传统审计、静态和预发布审计在动态DeFi系统中错过了后部署的漏洞。我们的持续漏洞赏金计划以道德方式模仿黑帽黑客的战术,捕捉审计无法或不能发现的问题。
Web3的独特安全挑战
Amador指出,传统网络安全在Web3的开源世界中失败。企业安全团队在尝试保护DeFi协议时,最关键的盲点包括可组合性和激励不对齐。在DeFi中,区块链的透明性意味着攻击者可以清楚地看到有多少价值处于风险之中,而伪匿名性意味着失败尝试的后果较少。
他还提到,主要稳定币未实施的安全措施让人感到担忧,尤其是他们通常跳过持续监控和强大的赏金,依赖一次性审计,冒着系统性漏洞的风险。
黑客谈判的人性
当与发现关键漏洞的黑客谈判时,Amador强调,依赖黑客的良心改变并不是协议安全的可行策略。如今,大多数黑客意识到,保留被盗的加密货币麻烦重重。
现实是,后期谈判是最后的手段,而不是安全策略。DeFi可能需要一个系统,使得最有技能的安全研究人员在一开始就不会成为攻击者,因为他们看到道德披露比利用漏洞更具经济吸引力。
人才流动与安全演变
Amador观察到,顶级安全人才正在从传统技术领域转向加密货币,原因在于Web3系统固有的信任和透明度、财务激励以及社区认可。
安全人才的流动形成了与Web2孤立角色形成对比的协作“群体”。财务激励对安全研究人员来说确实具有变革性,个人的加密赏金可以达到六位或七位数,而传统漏洞赏金通常最高为数万美元。
新兴威胁与法律框架
Amador提到,预言机操纵是一个被低估的攻击向量,攻击者可以利用弱数据源来欺骗合约,窃取资金或使稳定币不稳定。他强调,协议需要多重预言机冗余和针对性的赏金,但许多人忽视了这一关键的单点故障。
此外,Immunefi的新推出的针对安全争议的具有法律约束力的仲裁系统,旨在透明地解决争议,调解严重性或支付冲突,避免了缓慢的法院程序。
伦理与未来演变
Amador认为,Immunefi的模式将影响其他行业对激励安全研究的看法,金融和医疗行业也在采用众包安全,受到其仲裁和主动模型的启发。
展望未来,安全研究人员将成为开发过程中的集成合作伙伴,而不仅仅是外部审计员。这种协作方法将使适当的经济激励和透明的治理机制得以实现,并可能最终成为任何希望保护其平台的加密组织的标准。
关于Amador
Mitchell Amador是Immunefi的创始人兼首席执行官,这是一个链上安全平台,与Chainlink、以太坊基金会、Optimism和Arbitrum等协议合作。
