Certora Security 如何在2025年塑造去中心化金融（DeFi）的風險管理

來源：CryptoNewsNet 原文標題：Certora安全如何塑造2025年的DeFi風險管理 原文連結：

DeFi進入安全優先時代

到2025年，去中心化金融的鏈上價值達到2.5兆美元，標誌著規模和複雜度的決定性躍升。然而，這種成長也暴露出新的漏洞、新的攻擊向量，以及區塊鏈生態系統中安全姿態的結構性缺口。

企業越來越意識到，安全不僅僅是發行前的漏洞排查。更重要的是，確保系統在升級、擴展到新市場，以及支持不斷演變的用戶需求時，依然保持強韌。

確保頂尖DeFi協議的安全

在2025年，Certora深化了其作為以TVL衡量的領先協議的核心DeFi安全合作夥伴的角色。前20名協議中有14個，以及前10名中的7個，依賴該公司不僅進行審計，還進行長期合作。

總體而言，**70%**的前20大DeFi協議是Certora的客戶。此外，**70%**的前10名協議通過持續的長期安全計劃與Certora合作，而非一次性評估。

重要的長期安全合作夥伴

多個藍籌項目與Certora保持多年的合作，彰顯對持久防禦的需求。截至2025年，名單包括：

• Aave：超過5年
• Compound：超過5年
• Sky：超過4年
• Morpho：4年
• Silo：4年
• Safe：超過3年
• EigenLayer：超過3年
• Lido：3年
• Stellar：2年

僅在2025年，就有44個新協議開始與Certora進行安全合作。這些合作共同幫助Certora在2025年保護了價值達1965億美元的資產，鞏固其在DeFi風險管理中的核心地位。

跨鏈與多層級的規模安全

現代DeFi協議很少在單一鏈或執行環境中運作。2025年，Certora審查了數十萬行代碼，涵蓋更廣泛的web3生態，並將跨鏈安全審查實踐應用於每個主要技術棧：

• EVM：200,700行代碼
• Solana：206,600行代碼
• Sui：33,000行代碼
• Aptos：16,300行代碼
• NEAR：6,000行代碼
• 區塊鏈基礎設施：90,000行代碼
• 移動應用：14,000行代碼
• 鏈外系統：36,000行代碼

這種廣度反映出一個理念：嚴肅的安全必須與DeFi的多樣性相匹配。Certora專注於理解系統在壓力下的行為，不論其鏈、語言或時間範圍。

超越TVL的實質價值衡量

總鎖倉價值仍是關鍵指標，但並不能完全反映風險所在或風險的緩解方式。Certora在2025年的活動涵蓋基礎設施、治理機制和用戶端應用：

• 透過設計審查和協議不變式驗證，保障資產達900億美元，這些驗證是數學證明的正確性，而非假設
• 完成150次跨鏈、執行環境和系統層級的審計
• 在部署前識別並阻止**720+**個漏洞
• 99%的問題在上線前由團隊修復
• 在發現嚴重風險後，暫停了11個協議的部署

這些成果彰顯了從單純的核對清單轉向實質性安全工作的轉變。2025年證明，有效的安全措施能直接影響協議的走向、上線決策，並最終保護用戶。

從未發生的黑客事件

衡量影響的一個方式是評估在事件到達主網用戶前被阻止的案例。2025年，Certora發現了不同嚴重程度的漏洞分佈：

• 80個關鍵漏洞
• 180個高嚴重性漏洞
• 360個中等嚴重性漏洞

這些都不是表面問題，而是可能導致破產、用戶資金永久凍結、無法清算的債務、治理被劫持，以及經濟暗流在數月後才浮現的缺陷。

在一個極端案例中，一個協議包含多達80個不同問題，展現出複雜系統在現實條件下的脆弱性。此外，Certora在已部署系統中發現了10個活躍漏洞，強調嚴肅的鏈上漏洞預防工作必須持續進行，超越上線階段。

風險前沿的轉移

2025年，許多最具影響的失誤並非源於明顯的語法錯誤，而是來自經濟假設的缺陷、跨系統交互以及微妙的協議邏輯。

Certora所緩解的問題包括：一個數學錯誤，可能將有效利率膨脹高達2000倍，以及與以太坊升級相關的清算失敗模式，該模式可能因每筆交易的Gas限制而產生無法清算的倉位。

此外，團隊還發現了四捨五入問題，違反了核心不變式，如份額比率的單調性。這些問題不是簡單模式匹配能捕捉的，需要深入理解協議、經濟安全分析，以及密切追蹤鏈上變化。

設計長期償付能力

2025年，Certora大量工作聚焦於客戶的長期經濟償付能力。審計不僅驗證某一時點的狀態，而是分析狀態轉移在數年甚至數十年的演變。

透過這個視角，團隊揭示了多個只會在遙遠未來才顯現的會計缺陷，包括：長期過度支付利息、沒有直接漏洞的破產不變式，以及累積的“幽靈債務”，這些都會永久扭曲協議經濟。

儘管一些系統在靜態檢查中看似正確，但在模擬長期行為後卻崩潰。這強化了動態分析在可持續性中的重要性。

為何形式驗證成為核心

隨著資金規模的擴大，協議越來越追求正確性證明，而非僅僅是信心。在2025年，Certora的形式驗證審計已超越孤立函數檢查，涵蓋系統層級的屬性，這些屬性必須始終成立。

許多屬性涉及安全性和存活性，這些是用戶信任的核心。團隊明確專注於系統層級的不變式，一旦定義並證明，便能鞏固協議最關鍵的假設，抵禦邊緣案例。

這一演變也標誌著行業的一個重要時刻，越來越多團隊將形式方法整合到開發流程中，而非將其視為事後補充。

形式證明屬性的範例

2025年，Certora為多個高知名度協議和組件提供了全面的證明：

• Aave v4：份額比率單調；用戶行為不能使健康帳戶變差；無抵押品則無債務
• Euler Earn & Kamino：協議償付能力已正式證明
• Silo：供應與提取隊列的一致性已平衡
• Stellar：過期的授權不能重用

這些範例展示了形式方法和協議不變式驗證如何將抽象假設轉化為機器檢查的保證，應用於複雜系統。

擴展研究引擎

這些成果背後是一個龐大的研究團隊。2025年，Certora將安全研究團隊擴充到40名專家，其中包括25名博士，專長於形式方法、密碼學和系統設計。

公司還建立了四個專門的研究團隊，以專注於特定領域，同時保持跨協議的知識共享。此外，每次審計都由頂尖研究人員主導，配合形式驗證工具、自動分析和反覆的人工審查流程。

這些團隊與客戶建立長期合作關係，跨越多次審計、協議版本和新產品推出。結果，審計師常在部署後持續參與，審查上線設置、初始化流程和治理程序。

2026年及未來Certora安全的戰略角色

到2025年底，已經清楚，最成功的協議不僅快速推出功能，更早期就與安全專家合作，將深度驗證融入開發週期，並將安全視為核心基礎設施，而非合規步驟。

此外，2025年的數據顯示，這種模式正在重塑DeFi項目管理風險的預期。從多鏈代碼審查到複雜的不變式證明，整個行業正朝著更高標準邁進。

展望2026年，行業計劃在此基礎上持續推進，結合研究、工具和實戰經驗，使高保證安全成為每個主要協議的基本預設。

總結來說，2025年證明了：當安全被工程化而非臨時應付時，DeFi可以安全擴展，保護用戶，並支持全球加密經濟的長期成長。