4 月多起DeFi 攻击事件后，去中心化金融产业的安全讨论正在出现明显转向。过去，DeFi 协议最常被检视的是智能合约是否经过审计、程序代码是否存在漏洞；但Flying Tulip 创办人Andre Cronje 近日接受在接受Cointelegraph采访时表示，今日许多DeFi 协议的风险，已经不只存在于链上程式码，而是来自升级权限、多签治理、链下基础设施与团队营运流程。

DeFi 已经不是不可窜改的程序代码

Cronje 直言，若以早期DeFi 对「去中心化、不可变、无须信任」的严格定义来看，现在许多协议其实已经不能再被称为纯粹DeFi。他甚至将Flying Tulip 也纳入这个判断之中，称当前产业更像是由团队经营的营利型金融服务，而不是完全不可变的公共金融基础设施。

他表示：「我认为我们今天所拥有的，包括Flying Tulip 在内，已经不再是DeFi。它不是去中心化金融，也不是不可篡改的程式码，而是团队在经营营利事业。」

这番说法点出了DeFi 产业目前最尴尬的现实：许多协议仍使用DeFi 的叙事、估值与品牌语言，但实际运作上，早已依赖大量人为控制与链下流程。

DeFi 最大风险不再只是合约漏洞

Cronje 认为，早期DeFi 的安全模型相对单纯：协议部署后，智能合约不可变，使用者主要承担的是程式码逻辑风险。但现在的DeFi 系统通常复杂得多，协议可能使用proxy upgrade 进行合约升级，透过multisig 管理关键权限，依赖外部基础设施供应商，并在出事时由核心团队进行危机应变。

这代表安全问题已从「程式码有没有bug」，扩大成「谁有权限升级合约」、「谁掌握多签」、「时间锁是否足够」、「链下伺服器或管理介面是否可能被攻击」、「团队能否在异常情况下正确反应」。

Cronje 指出，产业过去仍过度把注意力放在智能合约审计，但近期许多攻击更接近传统Web2 或TradFi 的安全问题，例如基础设施存取权遭入侵、社交工程攻击、管理流程被滥用，或单一权限节点遭到攻破。

换言之，DeFi 并不是不需要审计，而是只靠审计已经不够。当一个协议能被升级、能被管理、能被人为介入时，它就必须承认自己也有传统金融机构会面临的营运风险。

Flying Tulip 加入提款熔断机制

在这样的背景下，Flying Tulip 近期加入提款熔断机制（withdrawal circuit breaker），让协议在侦测到异常资金流出时，可以延迟或排队处理提款。 Cronje 强调，这套机制不是用来永久阻止使用者提款，也不是让团队任意冻结资金，而是在异常情况下为协议争取短暂反应窗口。

以Flying Tulip 为例，这套机制大约能为团队争取6 小时。 Cronje 认为，若团队规模较小、成员分布不够全球化，可能需要12 到24 小时，甚至更长时间，才能在攻击发生时完成内部确认、签署与应变。

这类设计的逻辑很接近传统金融市场中的交易暂停或风控闸门：当系统出现异常流动性或资产外流时，不是立即判定所有交易无效，先让系统降速，避免攻击者在几分钟内搬走所有资金。

不过，Cronje 也强调，熔断机制只能是多层安全架构中的一环，不能被视为万灵丹。真正的防护仍必须包括审计、多签分散、时间锁、治理流程、监控机制与权限控管。

熔断机制的代价：保护使用者，还是创造新的中心化后门？

然而，熔断机制也立刻引发DeFi 开发者社群的路线之争。 Curve Finance 与Yield Basis 创办人Michael Egorov 同意，​​近期攻击确实暴露了链下中心化风险，但他对「增加人为紧急控制」的解方抱持高度警戒。

Egorov 指出，近期许多重大DeFi 事件并不是因为智能合约本身被攻破，而是来自链下单点故障。他以rsETH 相关事件为例，称Aave、Kelp 与LayerZero 的智能合约并未遭骇，真正的问题出在链下基础设施。

因此，在Egorov 看来，如果最大的风险本来就来自人与链下权限，那么再加入由人控制的熔断机制，可能只是把更多权力集中到少数签署人或管理者手上。

Egorov 担心，如果紧急控制权允许签署人修改合约、暂停提款或干预资金流向，一旦签署人遭到攻击，这套原本用来保护使用者的机制，可能反而变成骇客抽干资金的工具，或成为中心化冻结资产的后门。他的结论是，DeFi 设计应该尽量减少人为单点故障，而不是用更多人为权限解决人为权限造成的问题。

DeFi 要承认自己变成了什么

Cronje 与Egorov 的分歧，表面上是熔断机制之争，实际上是DeFi 身分认同之争。 Cronje 的立场更偏现实主义：既然许多协议已经不是不可变合约，而是具备升级权限、管理流程与团队营运的金融产品，那就应该承认这个现实，并导入相应的风控制度。

Egorov 则更接近DeFi 原教旨派：如果DeFi 的安全来自去中心化，那么解方不应是把更多控制权交给人，而是设计出更少依赖人工干预的系统。

两者其实都承认同一件事：现在DeFi 最大的问题，已经不只是合约写得好不好，而是使用者到底在信任谁。若一个协议可以升级、可以暂停、可以排队提款、可以透过多签改变核心逻辑，那么使用者承担的就不是单纯智能合约风险，而是团队治理风险、签署人风险、基础设施风险与营运风险。

本文链接地址：https://www.wwsww.cn/DeFi/38547.html
郑重声明：本文版权归原作者所有，转载文章仅为传播更多信息之目的，如作者信息标记有误，请第一时间联系我们修改或删除，多谢。