Certora安全如何塑造2025年DeFi風險管理

在2025年，DeFi 進入了一個新的成熟階段，Certora 的安全性成為跨鏈和協議價值保護的核心。

DeFi 進入安全優先時代

到2025年，去中心化金融的鏈上價值達到2.5兆美元，標誌著規模和複雜度的決定性躍升。

然而，這種增長也暴露出新的漏洞、新的攻擊向量，以及區塊鏈生態系統中安全姿態的結構性缺陷。

企業越來越意識到，安全不僅僅是發佈前的漏洞狩獵。更重要的是確保系統在升級、擴展到新市場，以及支持不斷演變的用戶需求時，依然保持強韌。

在這樣的背景下，Certora 不僅跟上了 DeFi 的步伐，更將自己定位為高價值協議所需的風險合作夥伴，並在2025年擴展其跨鏈、語言和基礎設施層的安全足跡。

保障頂尖 DeFi 協議

2025年，Certora 加深了其作為領先協議（以 TVL 衡量）的核心 DeFi 安全合作夥伴的角色。前20名協議中有14個，以及前10名中的7個，依賴該公司進行不僅是審計，還有長期合作。

總體而言，前20名DeFi協議中有70%是Certora的客戶。此外，70%的前10名協議通過持續的長期安全計劃合作，而非一次性評估。

這種做法反映了行業向持續安全參與的轉變，風險管理與協議路線圖、治理變革和市場狀況同步演進。

長期安全合作夥伴

多個藍籌項目與Certora保持多年的合作，彰顯對持久防禦的需求。截至2025年，名單包括：

Aave：超過5年

Compound：超過5年

Sky：超過4年

Morpho：4年

Silo：4年

Safe：超過3年

EigenLayer：超過3年

Lido：3年

Stellar：2年

這份名單僅涵蓋頂層。在2025年，已有44個新協議開始與Certora展開安全合作，包括Fluid、Jito、Navi、Polygon、Suilend等。更廣泛的客戶群現已涵蓋數十個額外的加密平台。

這些合作共同幫助Certora在2025年保護了價值1965億美元的資產，鞏固其在DeFi風險管理中的核心地位。

跨鏈與堆疊的規模安全

現代DeFi協議很少在單一鏈或執行環境中運作。2025年，Certora審查了數十萬行代碼，涵蓋更廣泛的Web3生態，並將跨鏈安全審查實踐應用於每個主要堆疊。

EVM：200,700行代碼

Solana：206,600行代碼

Sui：33,000行代碼

Aptos：16,300行代碼

NEAR：6,000行代碼

區塊鏈基礎設施：90,000行代碼

移動應用：14,000行代碼

鏈外系統：36,000行代碼（包括EigenLayer Hourglass、SafeNet、Cork、Lido工具等）

這種廣度反映了嚴肅安全必須與DeFi的多樣性相匹配的理念。此外，這些工作涵蓋了每個環境和執行模型，修正了失效模式和常見的開發者陷阱。

最終，Certora專注於理解系統在壓力下的行為，不論其鏈、語言或時間範圍。隨著資金和複雜度在鏈上金融中融合，這種系統性觀點變得越來越重要。

衡量超越TVL的實際價值

總鎖定價值（TVL）仍是關鍵指標，但並不能完全捕捉風險所在或風險的緩解方式。Certora在2025年的活動跨足基礎設施、治理機制和用戶界面應用，提供更廣泛的安全影響視角。

$90B 通過設計審查和協議不變量驗證保障的資產，這些正確性是數學證明而非假設

完成超過150次跨鏈、執行環境和系統層級的審計

提前識別並防止720多個漏洞

99%的發現問題在發布前由團隊修復

在部署前，因發現嚴重風險而暫停的協議有11個

這些結果彰顯了從單純的核對清單轉向實質性安全工作的轉變。2025年證明，有效的安全工作能直接影響協議的路徑、發布決策，最終保護用戶。

未曾發生的黑客事件

衡量影響的一種方式是評估在事件到達主網用戶前被阻止的案例。2025年，Certora發現了不同嚴重程度的漏洞分佈。

80個關鍵漏洞

180個高嚴重性漏洞

360個中等嚴重性漏洞

這些都不是表面問題，而是可能在沒有直接利用的情況下造成破產、用戶資金永久凍結、不可清算的債務頭寸、治理劫持，以及數月後才浮現的經濟漂移的缺陷。

在一個極端案例中，一個協議包含多達80個不同問題，展示了複雜系統在現實條件下的脆弱性。此外，Certora在已部署系統中發現了10個活躍漏洞，強調嚴肅的鏈上漏洞預防必須在部署後持續進行。

風險前沿的轉變

2025年，許多最具影響力的失誤並非源於明顯的語法錯誤，而是來自經濟假設的缺陷、跨系統交互以及微妙的協議邏輯。

Certora所緩解的問題包括：一個能將有效利率膨脹高達2000倍的數學錯誤，以及與以太坊 Fusaka 升級相關的清算失敗模式，該模式可能導致不可清算的頭寸。

此外，團隊還發現了四捨五入問題，違反了核心不變量，如份額比率的單調性。然而，這些並非簡單模式匹配能捕捉的錯誤，而需要深入的協議理解、經濟安全分析和鏈上變化的密切追蹤。

設計長期償付能力

2025年，Certora大量工作集中於客戶的長期經濟償付能力。審計不僅驗證某一時點的狀態，而是考察狀態轉移在數年甚至數十年內的演變。

透過這個視角，團隊揭示了多個只會在遙遠未來才會顯現的會計缺陷。這些缺陷的最終影響可能非常嚴重，包括長期過度支付利息、在沒有直接利用的情況下破壞償付能力不變量，以及累積的“幽靈債務”永久扭曲協議經濟。

儘管一些系統在靜態檢查中看似正確，但在模擬長期行為時卻崩潰。這一發現強化了動態分析在可持續性中的重要性。

正式驗證成為核心的原因

隨著資金規模的擴大，協議越來越追求正確性證明，而非僅僅是信心。在2025年，Certora的正式驗證審計已超越孤立的函數檢查，涵蓋系統層級的屬性，這些屬性必須始終成立。

許多這些屬性涉及安全性和存活性保障，對用戶信任至關重要。例如，團隊明確專注於系統層級的不變量，一旦定義並證明，便能鞏固協議最關鍵的假設，防範邊緣案例。

這一演變也標誌著行業的一個重要時刻，越來越多的團隊將正式方法整合到開發流程中，而非將其視為事後補充。

正式證明屬性的範例

2025年，Certora為多個高知名度協議和組件提供了全面的證明，包括：

Aave v4：份額比率是單調的；用戶行為不能使健康帳戶變得不健康；沒有抵押品則沒有債務

Euler Earn & Kamino：協議償付能力已正式證明

Silo：供應和提取隊列的一致性已平衡

Stellar：過期的授權不能重用

這些例子展示了正式方法和協議不變量驗證如何將抽象假設轉化為機器檢查的保證，應用於複雜系統。

擴展研究引擎

這些成果背後是一個龐大的研究組織。2025年，Certora將其安全研究團隊擴充到40名專家，其中包括25名正式方法、密碼學和系統設計的博士。

公司還建立了四個專門的研究團隊，實現專業化焦點，同時保持跨協議的知識共享。此外，每次審計都由頂尖研究人員主導，配合正式驗證工具、自動分析和反覆的人工審查流程。

這些團隊與客戶建立長期合作關係，跨越多次審計、協議版本和新產品推出。結果，審計師常常在部署及之後仍持續參與，審查發布設置、初始化流程和治理程序。

2026年及未來，Certora安全的戰略角色

到2025年底，已經很清楚，最成功的協議不僅是快速推出功能，而是早期與Certora合作，將深度驗證融入開發週期，並將安全視為核心基礎設施，而非合規步驟。

此外，2025年的數據顯示，這種模式正在重塑DeFi項目管理風險的預期。從多鏈代碼審查到複雜的不變量證明，行業正朝著更高標準邁進。

展望2026年，Certora計劃在此基礎上持續推進，結合研究、工具和實地經驗，將高保證安全作為每個主要協議的基本預設。

總結來說，2025年證明了當安全被工程化而非臨時應付時，DeFi可以安全擴展，保護用戶，並支持全球加密經濟的長期增長。