了解一下:2.7亿美元的Drift漏洞不是传统的智能合约黑客攻击,而是一个持续几个月的社会工程运动,标志着DeFi威胁的转变,从代码漏洞转向人类目标和情报式操作。作为回应,DeFi协议正在重新思考安全性,不仅仅限于审核——还关注操作安全、团队脆弱性,以及设计系统以假设即使是可信的参与者也可能被妥协。
当Drift 披露其2.7亿美元漏洞的细节时,最令人不安的部分不是损失的规模——而是事情发生的方式。
根据该协议团队的说法,这次攻击不是智能合约的漏洞或巧妙的代码操控。它 是为期六个月的行动,涉及假身份、跨多个国家的面对面会议以及精心培育的信任。攻击者, allegedly来自朝鲜,不仅仅是在系统中找到一个漏洞。他们成为了系统的一部分。
这种新威胁现在迫使去中心化金融进行更广泛的重新审视。
多年来,该行业一直将安全视为技术问题,认为可以通过审核、正式验证和更好的代码来解决。但Drift事件表明,问题远比这复杂:真正的脆弱性可能完全在代码库之外。
ENS Labs的首席信息安全官亚历山大·乌尔贝利斯(Alexander Urbelis)认为,这种框架本身已经过时。
“我们需要停止称这些为黑客攻击,并开始称它们为它们的本质:情报行动,”乌尔贝利斯告诉CoinDesk。“那些在会议上出现、在多个国家与Drift贡献者面对面会面、用自己的100万美元来建立信誉的人:这就是特工的技艺。这是你对待一个案例官员的期望,而不是黑客的行为。”
如果这种描述成立,那么Drift代表了一种新的行动方案:攻击者的行为不再像是机会主义黑客,而更像是耐心的操作者,在链上采取行动之前先在社会上植入自己。
“朝鲜不再扫描脆弱的合约。他们在扫描脆弱的人……这不是黑客攻击。这是运行特工,”乌尔贝利斯补充道。
这些战术本身并不完全新。
调查 近年来显示朝鲜的特工通过伪装成开发者,参加面试,甚至在假身份下获得职位,从而渗透加密公司。但Drift事件表明,这些努力已经升级——从通过招聘管道获得访问权限,到在执行攻击之前进行几个月的面对面关系建立。
‘阿基里斯之踵’
这种转变让许多安全领导者感到担忧。即使是经过严格审核的协议,如果一个贡献者受到妥协,也会失败。
SVRN的首席运营官大卫·施韦德(David Schwed)以及Robinhood和Galaxy的前首席信息安全官,将Drift案例视为一个警钟。
“协议需要理解他们所面临的挑战。这些并不是简单的漏洞。这些是经过精心策划的,为期数月的行动,拥有专门的资源、伪造身份和故意的人为因素,”施韦德告诉CoinDesk。“这种人为因素对许多组织而言是阿基里斯之踵。”
许多DeFi团队仍然规模小、快速移动,并且建立在信任基础上。但当少数几个人控制关键访问时,妥协一个就足够了。
施韦德认为,回应需要更新。“解决方案是一个完善的安全计划,不仅保护技术,还保护人员和过程……安全需要成为项目和团队的基础。”
一些协议已经在调整。在Solana最大的DeFi平台之一Jupiter,审核和正式验证的基线依然存在,但领导者声称这已不再足够。
“显然,通过多个独立审核、安全开源和正式验证来确保代码只是入场券。攻击的表面区域已经大大扩大,”首席运营官卡什·丹达(Kash Dhanda)说。
这一更广泛的表面现在包括治理、贡献者和操作安全。Jupiter在增加使用多重签名和时间锁的同时,还投资于检测系统和内部培训。
“考虑到肉体比代码更脆弱,我们还更新了操作安全培训,并监控关键团队成员,”丹达说。
即便如此,他补充道,“安全没有最终状态”,自满仍然是最大风险。
对于像dYdX这样的协议,Drift事件强化了一个无法完全工程化的现实。
“加密项目越来越多地成为国家支持的恶意行为者的目标,这是一个不幸的事实……开发者必须采取预防措施,以防止和减轻社会工程妥协的影响,但用户也应意识到,考虑到恶意行为者日益高超的技术,此类妥协的风险无法完全消除,”dYdX Labs的首席运营官大卫·戈格尔(David Gogel)说。
这种不断演变的威胁模型也正在将责任转向用户自身。
“在DeFi中活跃的用户应该花时间了解持有他们资金的协议或智能合约的技术架构,并在风险评估中考虑多重签名软件升级的角色和性质,以及这些可能被恶意妥协的可能性,”戈格尔补充道。
‘威胁模型’
对一些创始人来说,Drift漏洞强调了一个更不舒服的结论:信任本身已成为一种脆弱性。
“Drift漏洞并不是代码漏洞。它是一个持续六个月的情报行动,利用了人类之间的信任,”Jito Labs的首席执行官卢卡斯·布鲁德(Lucas Bruder)说。
在实践中,这意味着设计假设会被妥协的系统——而不仅仅是代码缺陷。
“智能合约的审核只是基础条件。真正的攻击面是你的团队、你的多重签名签署者以及他们接触的每一台设备。”
这种思维模式正成为DeFi如何看待安全的核心。SVRN的施韦德表示,这一切始于不仅询问协议如何工作,还要询问它可能如何失败。
“从威胁模型开始。问自己,我会如何被利用?如果一个项目所有者受到妥协,这种情况的影响范围是什么?”
从这个意义上说,Drift漏洞可能会被记住的不仅仅是损失的资金,更多的是它所揭示的——DeFi中最大的风险可能不再存在于代码中,而是运行它的人。
阅读更多: 朝鲜如何渗透加密行业
免责声明:本文章仅代表作者个人观点,不代表本平台的立场和观点。本文章仅供信息分享,不构成对任何人的任何投资建议。用户与作者之间的任何争议,与本平台无关。如网页中刊载的文章或图片涉及侵权,请提供相关的权利证明和身份证明发送邮件到support@aicoin.com,本平台相关工作人员将会进行核查。
