4 月多起 DeFi 攻擊事件後,去中心化金融產業的安全討論正在出現明顯轉向。過去,DeFi 協議最常被檢視的是智能合約是否經過審計、程式碼是否存在漏洞;但 Flying Tulip 創辦人 Andre Cronje 近日接受在接受 Cointelegraph 採訪時表示,今日許多 DeFi 協議的風險,已經不只存在於鏈上程式碼,而是來自升級權限、多簽治理、鏈下基礎設施與團隊營運流程。
DeFi 已經不是不可竄改的程式碼
Cronje 直言,若以早期 DeFi 對「去中心化、不可變、無須信任」的嚴格定義來看,現在許多協議其實已經不能再被稱為純粹 DeFi。他甚至將 Flying Tulip 也納入這個判斷之中,稱當前產業更像是由團隊經營的營利型金融服務,而不是完全不可變的公共金融基礎設施。
他表示:「我認為我們今天所擁有的,包括 Flying Tulip 在內,已經不再是 DeFi。它不是去中心化金融,也不是不可篡改的程式碼,而是團隊在經營營利事業。」
這番說法點出了 DeFi 產業目前最尷尬的現實:許多協議仍使用 DeFi 的敘事、估值與品牌語言,但實際運作上,早已依賴大量人為控制與鏈下流程。
DeFi 最大風險不再只是合約漏洞
Cronje 認為,早期 DeFi 的安全模型相對單純:協議部署後,智能合約不可變,使用者主要承擔的是程式碼邏輯風險。但現在的 DeFi 系統通常複雜得多,協議可能使用 proxy upgrade 進行合約升級,透過 multisig 管理關鍵權限,依賴外部基礎設施供應商,並在出事時由核心團隊進行危機應變。
這代表安全問題已從「程式碼有沒有 bug」,擴大成「誰有權限升級合約」、「誰掌握多簽」、「時間鎖是否足夠」、「鏈下伺服器或管理介面是否可能被攻擊」、「團隊能否在異常情況下正確反應」。
Cronje 指出,產業過去仍過度把注意力放在智能合約審計,但近期許多攻擊更接近傳統 Web2 或 TradFi 的安全問題,例如基礎設施存取權遭入侵、社交工程攻擊、管理流程被濫用,或單一權限節點遭到攻破。
換言之,DeFi 並不是不需要審計,而是只靠審計已經不夠。當一個協議能被升級、能被管理、能被人為介入時,它就必須承認自己也有傳統金融機構會面臨的營運風險。
Flying Tulip 加入提款熔斷機制
在這樣的背景下,Flying Tulip 近期加入提款熔斷機制(withdrawal circuit breaker),讓協議在偵測到異常資金流出時,可以延遲或排隊處理提款。Cronje 強調,這套機制不是用來永久阻止使用者提款,也不是讓團隊任意凍結資金,而是在異常情況下為協議爭取短暫反應窗口。
以 Flying Tulip 為例,這套機制大約能為團隊爭取 6 小時。Cronje 認為,若團隊規模較小、成員分布不夠全球化,可能需要 12 到 24 小時,甚至更長時間,才能在攻擊發生時完成內部確認、簽署與應變。
這類設計的邏輯很接近傳統金融市場中的交易暫停或風控閘門:當系統出現異常流動性或資產外流時,不是立即判定所有交易無效,先讓系統降速,避免攻擊者在幾分鐘內搬走所有資金。
不過,Cronje 也強調,熔斷機制只能是多層安全架構中的一環,不能被視為萬靈丹。真正的防護仍必須包括審計、多簽分散、時間鎖、治理流程、監控機制與權限控管。
熔斷機制的代價:保護使用者,還是創造新的中心化後門?
然而,熔斷機制也立刻引發 DeFi 開發者社群的路線之爭。Curve Finance 與 Yield Basis 創辦人 Michael Egorov 同意,近期攻擊確實暴露了鏈下中心化風險,但他對「增加人為緊急控制」的解方抱持高度警戒。
Egorov 指出,近期許多重大 DeFi 事件並不是因為智能合約本身被攻破,而是來自鏈下單點故障。他以 rsETH 相關事件為例,稱 Aave、Kelp 與 LayerZero 的智能合約並未遭駭,真正的問題出在鏈下基礎設施。
因此,在 Egorov 看來,如果最大的風險本來就來自人與鏈下權限,那麼再加入由人控制的熔斷機制,可能只是把更多權力集中到少數簽署人或管理者手上。
Egorov 擔心,如果緊急控制權允許簽署人修改合約、暫停提款或干預資金流向,一旦簽署人遭到攻擊,這套原本用來保護使用者的機制,可能反而變成駭客抽乾資金的工具,或成為中心化凍結資產的後門。他的結論是,DeFi 設計應該盡量減少人為單點故障,而不是用更多人為權限解決人為權限造成的問題。
DeFi 要承認自己變成了什麼
Cronje 與 Egorov 的分歧,表面上是熔斷機制之爭,實際上是 DeFi 身分認同之爭。Cronje 的立場更偏現實主義:既然許多協議已經不是不可變合約,而是具備升級權限、管理流程與團隊營運的金融產品,那就應該承認這個現實,並導入相應的風控制度。
Egorov 則更接近 DeFi 原教旨派:如果 DeFi 的安全來自去中心化,那麼解方不應是把更多控制權交給人,而是設計出更少依賴人工干預的系統。
兩者其實都承認同一件事:現在 DeFi 最大的問題,已經不只是合約寫得好不好,而是使用者到底在信任誰。若一個協議可以升級、可以暫停、可以排隊提款、可以透過多簽改變核心邏輯,那麼使用者承擔的就不是單純智能合約風險,而是團隊治理風險、簽署人風險、基礎設施風險與營運風險。
這篇文章 DeFi 還去中心化嗎?Andre Cronje:承認吧,多數協議都是可竄改的程式碼 最早出現於 鏈新聞 ABMedia。
