審計還不夠嗎？數據顯示在已審計的DeFi項目中損失了33億美元

審計很重要，但它們並非魔法護盾。這是區塊鏈數據分析平台Sentora最近一篇推文的主要結論，配合一張折線圖，詳細分解了在DeFi黑客和漏洞中損失的數十億美元。數據涵蓋2020年至2025年(，不包括Terra崩潰)，並提出一個明確且令人不安的觀點：即使是付費進行安全審查的項目也損失慘重。

“審計對DeFi來說是必不可少的，但並不能保證安全，”Sentora寫道。“在’20–’25年間，經過審計的項目損失超過33億美元，主要由於拉盤、私鑰被盜和審計後的變更所致。DeFi審計是基線，但有效的風險管理仍然需要積極監控風險。”

附帶的圖表按審計機構分類損失，顯示未經審計的項目遭受的損失最大，約在$5 十億美元左右，但也顯示經過審計的項目以及像Certik、NCC Group和Trail of Bits這樣的知名公司並非免疫。

層層問題

綜合圖像和Sentora的總結，勾勒出一個層次分明的問題。一部分是顯而易見的：跳過審計或偷工減料的項目付出了代價。另一部分，同樣重要，是審計本身只是快照，經常在最後一刻的代碼修改、治理變更或新管理密鑰引入之前進行。

這些審計後的修改，以及捕獲私鑰的社會工程攻擊和內部人員的惡意拉盤，佔了Sentora指出的經過審計項目損失的很大一部分——33億美元。圖表還突顯了一個中間類別，即被歸為“其他(68)”的小型審計公司，這些公司共同佔據了相當大的一部分損失。

這表明問題不僅在於項目是否經過審計，更在於審計的質量和全面性、審計機構的範圍，以及報告發布後的後續行動。一份忽略關鍵設計假設的審計，或一個忽視建議的團隊，都可能留下漏洞。

安全從業者多年前就一直強調，一次審計應該是安全計劃的開始，而非終點。持續監控、階段部署、多簽控制、權限功能的時間鎖、主動的漏洞賞金計劃和保險產品，都是打造更具韌性的策略的一部分。

Sentora的訊息強調，審計設定了最低標準，但團隊和投資者必須層層防護並持續監控。對於一個重視組合性和快速迭代的DeFi生態系統來說，這種緊張關係是真實存在的。開發者希望快速推出新功能並迅速調整；審計員需要足夠的範圍和時間來徹底審查；而攻擊者則在他們之間尋找短暫的空隙。

數據的結論簡單且令人不安：在審計上的投入仍然是必要的，但社群也需要更好的審計後紀律和運營保障，才能真正降低損失。

Sentora的推文和圖表提醒我們，DeFi中的安全是一個持續的過程，而非一張證書。審計有助於發現問題，但不能阻止問題的發生。除非團隊將安全視為持續的工作，而非打勾的項目，否則主要數字可能會持續攀升。