Movement Labs 共同創辦人警告：智能合約風險恐成全球金融定時炸彈

在接受 BeInCrypto 的採訪中，Movement Labs 的聯合創始人 Cooper Scanlon 對區塊鏈基礎設施的脆弱性發出警告，尤其是以太坊（ETH）等傳統智能合約的缺陷。他強調，這些弱點對全球金融的未來構成嚴重威脅。

他的言論發表之際，加密貨幣行業正因詐騙和黑客攻擊激增而陷入困境，這些事件已造成重大損失並削弱了對該行業的信任。

Scanlon 指出，僅在 2024 年，智能合約的缺陷已導致數十億美元的損失。根據 SolidityScan 的數據，2024 年加密貨幣黑客攻擊總額達 14 億美元，涉及 149 起獨立事件。

事實上，今年加密貨幣社區目睹了史上最大規模的黑客攻擊之一，Bybit 成為目標。黑客從該平台竊取了 15 億美元，主要是以太坊。他們利用了單一簽名交易的漏洞，繞過錢包安全機制進行未經授權的提款。

此外，3 月初，去中心化交易所（DEX）聚合器 1inch 也因 Fusion v1 解析器智能合約的缺陷遭受嚴重攻擊，進一步凸顯了該行業面臨的脆弱性。

Scanlon 強調，這些事件並非逐漸衰退，而是一旦漏洞被利用，便會在幾秒鐘內造成災難性的資金流失。當考慮到區塊鏈與傳統金融系統日益增長的整合時，情況變得更加嚴峻。

他告訴 BeInCrypto：「如果金融機構在未解決這些潛在缺陷的情況下，將智能合約整合到支付系統和資本市場中，我們將在更廣泛的系統中放大風險。」

這位共同創辦人還強調了關於智能合約安全性的一個危險誤解——即認為成功的審計就能保證安全。Scanlon 表示，審計只能發現一小部分潛在漏洞，且經常忽略更複雜的攻擊途徑。

此外，他強調這些攻擊每天都在發生。這位高管指出，過去兩個月內發現了三個主要的重入漏洞。他警告，這些事件並非孤立發生，而是指向更深層的架構缺陷。

Scanlon 評論道：「如果以太坊繼續使用 Solidity 代碼進行開發，隨著區塊鏈採用率的增加，這些威脅在未來五年內將不幸惡化。與傳統金融的更深整合意味著更高價值的目標，而複雜性的增加則創造了更多的攻擊面。」

需要說明的是，重入漏洞是智能合約中的一種漏洞，當合約進行外部調用時，該調用可以在初始執行完成前再次調用合約。這使得攻擊者可以重複執行某個功能，可能導致資金被耗盡或合約被操縱。一個著名的例子是 2016 年的 DAO 攻擊。

Movement Labs 的共同創辦人還以 Kyber 攻擊為例，說明一個簡單的整數溢出如何導致災難性後果。然而，他也承認，沒有任何開發者或審計者能夠在數千行 Solidity 代碼中如此細緻地識別所有漏洞。Scanlon 聲稱，每個傳統協議都伴隨著這些固有風險。

他強調：「隨著大型銀行、支付處理商和交易所基於這些系統構建，曾經只影響加密愛好者的漏洞現在威脅到更廣泛的金融生態系統。」

為應對這些風險，他認為解決方案在於超越過時的架構，採用更安全、現代的設計。他將注意力轉向 Movement Labs 使用的 Move 編程語言。

Scanlon 解釋，Move 通過其資源導向設計和形式化驗證消除了常見漏洞。據他介紹，Move 專門設計來防止整類漏洞。

Scanlon 主張：「Move 代表了對現有智能合約平台的革命性改進。」

在這些風險中，Scanlon 認為區塊鏈網絡需要標準化的安全協議。然而，他強調傳統模式無法直接應用。

他指出，在整合去中心化系統之前，金融機構必須首先理解區塊鏈帶來的獨特安全挑戰。

Scanlon 向 BeInCrypto 透露：「希望整合去中心化系統的金融機構必須明白，區塊鏈交易是不可逆的。這意味著在區塊鏈中，攻擊往往是不可逆的。這一根本性差異需要徹底重新思考風險管理，但也指向去中心化技術的獨特價值。」

Scanlon 也強調了改進監管方式的必要性。他指出，傳統金融與去中心化系統已不再是截然不同的領域，它們正日益融合。

然而，他提到，目前大多數監管框架仍基於過時的擔憂，主要集中在傳統問題上，例如了解客戶（KYC）、反洗錢（AML）合規性以及投資者保護。

Scanlon 警告，這些框架忽略了可能引發區塊鏈領域系統性故障的更深層技術風險。他表示，行業需要的是明確性。

Scanlon 表示：「政府應努力制定圍繞區塊鏈的明確法律，讓創新者和建設者能夠安心開發安全可靠的鏈和應用程式。」

他主張，重點應放在創造一個讓安全創新能夠蓬勃發展的環境，而不是強制實施一刀切的標準。

人性心理如何助長詐騙成功

除了解決智能合約基礎設施的漏洞外，Scanlon 還討論了社交媒體平台上盛行的迷因幣詐騙。最近，駭客針對許多名人、行業專家以及政治領袖，控制了他們的 X 帳號來推廣詐騙代幣。

Scanlon 解釋，這些事件的增加是因為涉及的不對稱回報。詐騙者只需投入極少的技術努力，就能獲得可觀的利潤。

Scanlon 向 BeInCrypto 分享：「這些社交工程攻擊與智能合約漏洞有根本上的不同。它們利用的是人類心理，而非程式碼缺陷。」

為了應對這些威脅，Scanlon 強調，社交媒體平台需要更先進的檢測系統來識別被入侵的帳號並防止詐騙推廣。他還呼籲加強鏈上分析，以便在可疑代幣合約獲得關注之前識別並標記它們。

他強調了改進資源以驗證項目合法性的重要性。此外，他建議協議應納入更強的驗證措施。

Scanlon 總結，長期的解決方案在於改進技術。他強調，應培育一個在每個層面都優先考慮安全的生態系統，從程式碼設計到用戶體驗。Scanlon 堅稱，社區應放在首位，因此保護它免受這些威脅至關重要。