专家表示，在 2 亿美元 Drift 漏洞利用之后，应审计管理密钥，而不仅仅是代码

加密货币世界再次面临重大漏洞利用的后果，这次的目标是 Drift 协议。虽然围绕攻击的确切机制的细节仍在浮出水面，但据报道，该事件导致了约 2 亿美元的损失，重新引发了关于去中心化金融 (DeFi) 安全实践的关键辩论。 重点越来越多地转向经常被忽视的审计管理密钥的重要性，而不仅仅是底层代码。

传统的智能合约审计会仔细检查代码是否存在漏洞，例如错误、逻辑错误和潜在的漏洞利用。但是，此事件突显了扩展安全审计范围以包括安全协议和管理密钥（控制协议的关键功能）的重要性。 即使是经过最严格审计的代码，拥有被盗用的管理密钥也可以让恶意行为者绕过。

专家观点

安全专家表示，核心问题在于集中控制的可能性，即使在据称去中心化的系统中也是如此。 虽然代码本身可能经过彻底审查，但管理密钥授予的特权访问权限提出了一个重要的攻击媒介。 一个常见的建议是为管理功能实施多重签名方案和时间锁定机制。 这引入了一定程度的冗余，并防止单个被盗用的密钥造成灾难性损害。 此外，透明且定义明确的治理程序对于管理协议的更改和确保问责制至关重要。

仅仅假设管理密钥是安全的还不够。 定期审计围绕密钥生成、存储和访问控制的流程至关重要。 这包括验证硬件钱包的安全性、密码管理实践的稳健性以及开发团队内部正确访问控制的实施。

值得关注

展望未来，加密货币社区需要密切关注协议如何实施和管理其管理密钥。 预计对治理模型的审查将增加，并且对项目展示强大的密钥管理实践的需求将越来越大。 投资者和用户应积极寻找不仅优先考虑代码审计，而且还对其管理基础设施进行全面安全审计的项目。

Drift 团队的反应将受到密切关注。 他们如何处理善后事宜、补偿用户以及实施增强的安全措施将为行业树立先例。 此事件可能会导致更严格的监管监督，并推动 DeFi 领域内的更大问责制。 对漏洞利用的持续调查有望揭示准确的攻击媒介，并为更广泛的加密货币生态系统提供宝贵的经验教训。

最终，DeFi 协议的安全性取决于兼顾代码和人为因素的整体方法。 审计管理密钥不再是“锦上添花”，而是建立信任和确保去中心化金融长期可行性的必要条件。

来源：CoinDesk