以太坊基金会发布了其迄今为止最全面的安全倡议中的首份报告,该报告描绘了以太坊(ETH)必须解决的关键风险,以支持全球链上价值达数万亿美元。
首份“万亿安全”(1TS)报告概述了个人、机构和政府需要什么来信任网络并投入显著更大的资金。这份报告是在基金会近期进行重组后的几周内发布的,这些举措同样深入探讨了多个领域。
基于开发者、用户和安全专业人士的广泛反馈,报告识别了六个核心领域的漏洞:用户体验、智能合约、基础设施、共识机制、事件响应以及治理。
报告将作为以太坊下一阶段安全改进的基础路线图。
生态系统中的漏洞 根据报告,由于糟糕的钱包用户体验、盲目签名和不一致的权限控制,大部分以太坊的安全负担仍然落在终端用户身上。这些问题持续造成重复威胁,而碎片化的钱包标准阻碍了安全使用。
此外,机构用户在管理密钥、审计跟踪和自定义工作流程方面面临额外摩擦,当前的基础设施对此支持不足。
报告还指出,尽管有所改进,但智能合约安全仍存在升级风险、访问控制失败和形式验证采用率低的问题。
同时,对集中式基础设施(如RPC提供商、DNS和云主机)的依赖削弱了以太坊去中心化的保证。Layer-2解决方案引入了新的复杂性,而ISP级审查和DNS劫持的可能性仍未得到充分认识。
在协议层面,报告指出,验证者集中化和不明确的恢复程序继续引发关于以太坊在边缘情况下的故障恢复能力的关注。
报告还强调了向抗量子密码学长期过渡的重要性。
协调安全未来 据报告称,以太坊应对威胁的能力受到监控、协调和恢复方面的差距限制。
当尝试联系受影响团队或跨平台升级问题时,响应人员经常遇到延迟。没有清晰的沟通渠道或预先建立的联系人,在事件发生期间宝贵的时间被浪费。
报告还提到缺乏有效的监测工具用于早期发现链上和链下威胁。在许多情况下,安全漏洞直到造成损害后才被注意到。
保险覆盖范围依然稀缺。与传统金融系统不同,以太坊应用程序获取保险的机会有限,这使得用户和组织在遭受攻击时暴露于全部损失的风险中。
在治理方面,报告警告说,以太坊的社会层——即其开发者网络、机构和文化规范——本身就是潜在的攻击载体。它指出了质押集中化、监管压力和可能改变以太坊方向的组织影响带来的风险。
报告还指出,“社会惩罚”流程的缺失是验证者共谋或协议捕获事件中的一个关键漏洞。
声明:文章不代表本站观点及立场,不构成任何投资建议。投资有风险,入市需谨慎!