为什么 $292M KelpDAO 漏洞证明智能合约审计仍不足
发布: (2026年4月29日 GMT+8 02:31)
2 分钟阅读
原文: Dev.to
Source: Dev.to
“有效”的漏洞利用
KelpDAO 事件令人恐惧,因为链上交易看起来 100 % 合法。签名已验证。信息已转发。转移了 116,500 rsETH。
基础设施向量
攻击针对链下验证层。通过入侵 RPC 节点,攻击者向单点故障(1‑of‑1 DVN)注入了错误数据。
作为构建自动化流水线的人,我将其视为一次 数据完整性 失效。我们过于关注 Solidity 代码,以至于忽视了为其提供数据的 数据管道。
为什么硬件必须进化
在 2022 年,我们使用硬件钱包来“离线保存密钥”。
在 2026 年,我们需要它们来“审计负载”。
如果你的设备不具备以下功能:
所需硬件特性
- Clear Signing: 将十六进制解码为人类可读的意图。
- Open‑Source Firmware: 让社区能够验证其数据解释方式。
- SignGuard/Simulation: 在签名之前预测余额变化。
……那么你只是在使用一个非常昂贵的“Enter”键。
判决
KelpDAO 攻击是一次警醒。我们需要停止信任基础设施,转而在硬件层面验证意图。
我目前正在审查一些以“开源优先”为理念的技术栈来处理此问题。敬请期待技术拆解。