摩根大通最近强调持续存在的安全问题阻碍了机构参与DeFi，并引用了巨额损失，包括Bybit（15亿美元）、KelpDAO（2.92亿美元）、Drift（2.85亿美元）和Euler（1.97亿美元）。OpenZeppelin的文章认为，威胁格局已从智能合约漏洞转向运营层故障，例如社会工程和签名基础设施入侵。Bybit（对Safe{Wallet}的供应链攻击）和Drift（为期六个月的社会工程活动）等重大事件表明，大多数机构的安全计划无法检测这些威胁。文章提出了一个四层风险框架：智能合约与协议、密钥管理与托管、治理与升级、跨链与集成。它强调了实时监控的重要性，并举例说明自动化系统在几分钟内逆转损失。最低可行的监控态势应涵盖特权函数调用、多签签名活动、与审计字节码验证的升级交易以及跨链铸币验证。OpenZeppelin建议进行全栈风险评估、运营安全评估、上线前部署持续监控以及针对DeFi特定场景的事件响应预案。

关键事实

• 摩根大通指出DeFi安全缺陷是障碍；损失包括Bybit（15亿美元）、KelpDAO（2.92亿美元）、Drift（2.85亿美元）、Euler（1.97亿美元）。
• 威胁从智能合约漏洞转向运营失败：社会工程和签名基础设施入侵。
• 实时监控在几分钟内逆转损失（Rainbow Bridge、Curve、Ronin Bridge实例）。
• 四层风险框架：智能合约、密钥管理、治理、跨链集成。
• OpenZeppelin建议全栈风险评估、运营安全评估、持续监控和DeFi特定事件响应。