披露：此處表達的觀點和觀點僅屬于作者，不代表crypto.news社論的觀點和觀點。

DeFi受到了攻擊，但不是來自該行業(yè)習慣于防御的威脅。當開發(fā)人員仔細掃描代碼行以尋找漏洞時，攻擊者卻改變了策略，利用完美編程之下未被注意到的經濟弱點。

例如，Hyperledger上的JELLY代幣利用就是一個典型的例子，攻擊者能夠從Hyperledger的保險基金中竊取超過600萬美元。這種漏洞根本不是由編碼錯誤造成的，而是由沒有人仔細審查的可游戲激勵和未定價風險造成的。

DeFi網絡安全已經取得了長足的進步。智能合同通知--旨在捕捉軟件代碼中的錯誤--已成為當今的常態(tài)。但我們迫切需要擴大其范圍，而不僅僅是代碼行。智能合同審計從根本上來說是不夠的，除非它們還分析經濟和博弈論風險。該行業(yè)過度依賴僅代碼審計已經過時且危險，導致項目容易受到無休止的攻擊循環(huán)。

最近的襲擊凸顯了經濟剝削的危險

2025年3月，接受合同審計的Hyperliquarter交易所遭遇了涉及其JELLY代幣的價值600萬美元的漏洞攻擊。如何？攻擊者沒有發(fā)現代碼中的錯誤;他們通過濫用Hyperliquid自己的清算邏輯、抬高JELLY的價格并操縱平臺的風險參數，策劃了一次短暫的擠壓。

換句話說，Hyperliquid的設計師沒有根據某些市場行為定價--傳統(tǒng)審計沒有發(fā)現這一疏忽。Hyperliquid的案例表明，無可挑剔的代碼無法拯救建立在不穩(wěn)定的經濟假設之上的項目。

JELLY事件發(fā)生前不久，Fantom上的貸款協(xié)議Polter Finance通過一項交易被抽走了1200萬美元閃電貸款攻擊，另一種常見的攻擊類型，依賴于經濟，而不是編碼漏洞。攻擊者提取了閃電貸款并操縱了該項目的價格Oracle，誘騙系統(tǒng)將毫無價值的抵押品視為價值數十億美元的抵押品。

該代碼確實做到了它應該做的事情，但設計存在缺陷，導致價格的極端波動可能導致平臺破產。事實證明，這一漏洞具有毀滅性，以至于一個前途無量的項目Polter Finance被迫停止運營。

這些不是孤立的攻擊/事件;它們是DeFi不斷增長的模式的一部分。在一個又一個案例中，聰明的對手通過操縱市場輸入、激勵或治理機制來利用協(xié)議，以觸發(fā)開發(fā)人員沒有預料到的結果。我們看到收益農場因獎勵漏洞而遭受重創(chuàng)，穩(wěn)定幣掛鉤因市場協(xié)調走勢而受到攻擊，保險資金因極端波動而耗盡。

通過經濟和博弈論分析加強審計

傳統(tǒng)審計檢查“代碼是否做了它應該做的事情”，但誰來檢查“它應該做的事情”在對抗條件下是否有意義呢？與封閉程序不同，DeFi協(xié)議生活在一個動態(tài)的、對抗的環(huán)境中。價格波動，用戶調整策略，協(xié)議以復雜的方式互連。

雖然大多數web 3團隊的工作人員都配備了能夠在開發(fā)過程中發(fā)現軟件錯誤的工程師，但很少有人擁有內部經濟專業(yè)知識，這使得審計填補這一空白并識別激勵設計和經濟邏輯中的漏洞至關重要。

真正嚴格的審計包括博弈論和經濟分析，其中涉及審查費用機制、清算公式、抵押品參數和治理流程等內容。他們迫使審計師考慮：“鑒于這些規(guī)則，某人如何才能通過彎曲它們獲利？”

例如，在Oak Security進行的一次審計中，我們發(fā)現一個永久掉期平臺的保險基金可能會被波動性完全耗盡，因為它沒有在定價模型中考慮“Vega風險”-協(xié)議對波動性的敏感性。這根本不是一個代碼錯誤，而是一個設計缺陷，在動蕩的市場中會導致崩潰。只有從博弈論和經濟學的角度深入研究才發(fā)現了這個問題幸運的是，我們在發(fā)布之前就發(fā)現了這個問題。

這些經濟漏洞都有很好的記錄，而且不難發(fā)現--但只有當審計人員提出正確的問題，并超越頁面上的代碼思考時，它們才會浮出水面。

創(chuàng)始人必須向審計師提出更多要求

協(xié)議創(chuàng)始人應要求審計師檢查交易系統(tǒng)的所有組件，包括隱式邏輯和鏈外組件，以確保全面的安全性。在最好的情況下，所有關鍵任務邏輯都將被鏈上。

如果您是創(chuàng)始人或投資者，詢問您的審計師至關重要：Oracle操縱怎么樣？流動性緊縮的情況怎么樣？您是否分析了代幣經濟學中的攻擊載體？如果答案是沉默或揮手，你需要深入挖掘。

這些盲點的成本實在太高了--結合經濟學和博弈論分析不僅僅是一件“好東西”;這是DeFi項目的生存問題。我們需要培養(yǎng)一種對每個主要協(xié)議進行代碼審查和經濟審查齊頭并進的文化。

讓我們現在提高標準--在另一個數百萬美元的教訓迫使我們采取行動之前。

揚·菲利普·弗里切

揚·菲利普·弗里切是Oak Security的董事總經理，Oak Security是一家專門從事Web 3審計的網絡安全公司。在任職Oak Security之前，Fritsche博士在計量經濟學和風險建模方面積累了豐富的經驗，曾在歐洲央行和DIW Berlin等機構擔任職務。他擁有博士學位。柏林洪堡大學經濟學專業(yè)。