觀點作者:Orest Gavryliak,1inch Labs 首席法務長

今年二月的 Bybit 遭駭事件打破了加密貨幣史上最大規模駭客攻擊的紀錄。北韓網路犯罪分子在彈指之間竊取了超過 14 億美元,這起大膽的搶劫案在全球各地登上頭條新聞。

根據 TRM Labs 的報告,2025 年上半年因駭客攻擊而損失的加密貨幣總值達 21 億美元。這是一筆天文數字的損失,然而駭客攻擊似乎仍將持續。

雖然這些肆無忌憚的盜竊行為備受關注,但對於駭客如何洗清這些被盜取的加密貨幣,卻未受到足夠的審視。中央化交易所(CEX)和 DeFi 協議從這些災難性事件中都有不同的教訓需要學習。

CEX 必須做出改變

對於全球數百萬用戶依賴的交易平台而言,必須對交易簽署方式做出重大改變。僅依賴使用者介面摘要已經不夠安全;相反地,手動解碼調用數據變得至關重要。只有這樣,主管才能確信從冷錢包轉出的資金會到達預定目的地。

其他尖端解決方案包括驗證交易和簽名的「智能共同簽署人」。這確保了即使所有必要的批准都已獲得,可疑的請求也會自動被拒絕。

現在可以在簽名之前模擬交易,並結合即時威脅情報來標記高風險的調用數據。果斷轉向多方計算(將私鑰分割成多個碎片且永不完整組合)可以成為智能合約的一個有力替代方案。

在最近的加密貨幣駭客事件中,介面被操縱。不法分子欺騙主管無意中授權了惡意交易。今年迄今,在 75 起駭客攻擊中被盜的加密貨幣中,超過 80% 是通過所謂的基礎設施漏洞竊取的,平均每次攻擊的盜取金額是其他類型攻擊的 10 倍。

很明顯,一種模式正在形成,而 CEX 不針對這種已確立的威脅做出調整是不可接受的。

DeFi 必須對抗駭客

第一步是建立健全的防護措施,封閉攻擊途徑,讓駭客難以將交易所當作自己的私人提款機。在駭客行動的下一階段,當他們試圖透過去中心化平台轉移非法資金時,也需要進行重要的改進。

幣安交易所執行長趙長鵬在二月份試圖凍結從其平台被盜取的大量 ETH 時,他的挫折感顯而易見。區塊鏈分析顯示,這些資金被分散到許多錢包中,透過數百筆交易 — 將 14 億美元分割成無數小碎片。在《When Shift Happens》播客中,他描述了試圖聯繫這些加密貨幣被轉移到的平台,但當他收到回應時,資金已經被轉移到別處。

這就是為什麼 DeFi 協議需要加強努力,防止駭客利用其基礎設施。結合風險情報、交易監控、錢包篩查和風險管理軟體都可以在這裡發揮作用 — 而不會損害去中心化。

一些解決方案使用全天候即時情報,而其他方案還結合人為情報,以迅速回應事件的發展。當與專為 DeFi 量身打造的先進多任務風險管理儀表板配對時,這項技術可以根據被封鎖的地址篩查互動和交易、將錢包分配到監控區域,並對地址進行即時風險評分。

這種分層方法允許在幾秒鐘內檢測惡意活動,使安全團隊能夠解讀行為異常、與外部情報提供商合作,並在需要人為判斷的複雜或模糊情況下迅速採取行動。可疑的錢包和 IP 連接可以在資金損失之前被封鎖。

交易所和 DeFi 協議之間的良性競爭並無不妥。客戶應該有選擇權。然而,對一個平台的駭客攻擊必須被視為對所有平台的攻擊。

密切合作不僅僅是一種公關活動;這是一個機會,可以形成一個統一戰線,對抗那些危及這個行業未來的竊賊。每次駭客攻擊都會損害消費者信心,如果這種情況持續發生,監管機構可能別無選擇,只能實施限制,這也會懲罰遵守法律的加密貨幣使用者和開發者。

自律監管是未來趨勢

DeFi協議本質上對所有用戶開放,不像中心化系統那樣進行監督、管理或「治安」。非託管方式意味著DeFi開發者無法凍結通過其平台的非法資金。立法者可能並不完全理解DeFi平台的運作方式,因此開發者常常被指責為他人的行為負責,即使他們個人並不對這些交易負責。

近期的加密貨幣駭客攻擊應該敲響警鐘。負責任的DeFi開發者必須團結起來,創建健全的治理和安全模型,以跟上科技進步的步伐。精心設計的協議、分層防禦系統和持續的安全審查有潛力使加密貨幣駭客攻擊不再對機會主義竊賊有利可圖。

更深層的事實顯而易見。如果加密貨幣無法實現自律監管,它可能成為反對自由市場本身最有力的論據之一。

儘管存在缺陷,傳統金融(TradFi)仍在監管機構制定的一套明確執行規則下運作 - 這種中央計劃形式作為系統性風險和犯罪的緩衝。相比之下,DeFi以消除中間人和擁抱純粹市場動態為榮。持續發生的事件表明,沒有哪怕是一層薄薄的協調或保障措施,絕對自由可能是不可持續的。

也許理想並非100%的自由市場,而是85%的自由市場,其餘15%作為可編程規則層,旨在維護安全、防止濫用和培養信任。不是為了複製TradFi的官僚作風,而是為了實施自動化、透明且最小侵入性的標準,用於反洗錢、欺詐偵測和風險歸因等方面。

將其視為不是自上而下的控制,而是協議層面的護欄:智慧、模組化的層,使DeFi能夠保持開放性的同時確保責任制。這些可以是社群驅動的、開源的標準,直接嵌入協議、去中心化應用程式和介面中 - 這是一項集體努力,旨在減少系統性威脅,同時不損害去中心化。

DeFi不需要模仿TradFi來成熟,但沒有責任的自由可能會招致混亂。目標不是限制創新,而是通過共享標準、道德設計和韌性來未雨綢繆。

是的,這需要時間。是的,這需要投資。而且是的,這將需要實驗和一些失敗的嘗試。但從長遠來看,收益將是巨大的。

觀點作者:Orest Gavryliak,1inch Labs 首席法務官。