网络安全、智能合约审计和最佳实践
查看所有标签
三次攻击。19 个月。超过 1.4 亿美元不翼而飞。然而 BtcTurk 依然处理着土耳其每年约 2000 亿美元加密货币交易量的大部分 —— 因为对于大多数土耳其用户来说,别无他选。
这种紧张关系才是 2026 年 1 月 BtcTurk 被盗事件的真相,而非 4800 万美元那个头条新闻。当土耳其占据主导地位的交易所自 2024 年年中以来第三次丢失热钱包资金,而零售用户却耸耸肩继续交易时,一些结构性的东西正在崩溃。新兴市场的加密货币用户正在支付所谓的“信任税” —— 为了换取本币出入金通道,他们接受了比国际竞争对手更弱的资产托管。随着全球加密货币的采用从投机交易转向以稳定币计价的储蓄,这笔税款即将引起关注。
一个人在一次通话中损失了 2.82 亿美元。没有智能合约被利用,没有一行 Solidity 代码被触及。2026 年 1 月 10 日,一名虚假的 IT 支持代表诱导一位加密货币持有者执行了硬件钱包的“恢复”流程,并带走了比大多数 DeFi 协议总锁仓价值(TVL)还要多的比特币(Bitcoin)和莱特币(Litecoin)。这起单一事件——规模超过了 Drift,甚至超过了 Kelp DAO 本身——占据了 2026 年第一季度 Web3 所有损失金额的一半以上。
Hacken 的 2026 年第一季度区块链安全与合规报告 指出,该季度 44 起事件共导致 4.826 亿美元资金被盗。仅网络钓鱼和社会工程学就掠走了 3.06 亿美元——占季度总损失的 63.4%。智能合约漏洞利用仅造成了 8620 万美元的损失。访问控制失败——包括密钥泄露、云凭证被盗、多签接管——又增加了 7190 万美元。数据非常直观:上季度从有漏洞的代码中每被盗走 1 美元,攻击者就会通过围绕代码的人员、流程和凭证榨取大约 3.5 美元。
对于一个五年来一直将“已审计”视为“安全”代名词的行业来说,第一季度的数据是一个警示。攻击面已经转移,但投入却没有。
如果赋予量子计算机强大能力的物理学原理,同时也可能清空中本聪(Satoshi)的钱包——以及随之而来的价值约 4400 亿美元的比特币,那会怎样?2026 年 1 月,一家名为 Project Eleven 的纽约初创公司以 1.2 亿美元的估值筹集了 2000 万美元,旨在确保在那一天到来之前,防御措施已经准备就绪。在 Castle Island Ventures、Coinbase Ventures、Variant 和 Balaji Srinivasan 的支持下,本轮融资标志着首个进入“量子安全加密(quantum-safe crypto)”领域的严肃资本周期——也标志着比特币最隐秘的生存风险正式成为了一个可获投资的行业。
多年来,“量子风险”一直存在于学术论文的脚注中。但在 2026 年,它进入了风险投资条款清单、NIST 标准以及一场实时的 BIP(比特币改进提案)辩论中。以下是原因,以及目前正在构建的实际内容。
Project Eleven 的 A 轮融资于 2026 年 1 月 14 日结束,由 Castle Island Ventures 领投,Coinbase Ventures、Variant、Fin Capital、Quantonation、Nebular、Formation、Lattice Fund、Satstreet Ventures、Nascent Ventures 和 Balaji Srinivasan 参投。这笔 2000 万美元的资金将 Project Eleven 的投后估值推高至 1.2 亿美元,使其在 16 个月内的总融资额达到约 2600 万美元——该公司此前曾在 2025 年中期筹集了 600 万美元的种子轮融资。
创始人 Alex Pruden 曾是美国陆军步兵和特种作战部队军官,他简洁地阐述了公司的使命:数字资产需要有组织地迁移到抗量子密码学,而必须有人来制造这些“铁锹和铲子(基础工具)”。
值得关注的不只是融资金额,还有投资者的组合。Castle Island 和 Coinbase Ventures 通常不会为纯投机性的理论开出七位数的支票。Variant、Nascent 和 Lattice 是加密原生基金,而 Quantonation 则是专注于量子技术的投资者。他们共同释放了一个信号:量子安全基础设施已从研究层面的好奇心跨越到了预算开支项——而且比特币超过 1.4 万亿美元的市值,足以成为在攻击出现之前就资助防御的动力。
比特币通过 secp256k1 曲线上的椭圆曲线数字签名(ECDSA)保护着约 1970 万枚代币。ECDSA 在传统硬件上是无法破解的,但 Shor 算法(一种 1994 年提出的量子算法)可以在多项式时间内分解大整数并计算离散对数。一旦出现了足够大且具有容错能力的量子计算机,每一个暴露的比特币公钥都将变成一个等待被获取的私钥。
这种威胁蛰伏了数十年,因为硬件看起来还遥不可及。但这个时间窗口在 2026 年 3 月崩��溃了。
3 月 31 日,Google Quantum AI 发布了新的资源估算,显示破解比特币的 secp256k1 曲线需要少于 1,200 个逻辑量子比特(logical qubits)和大约 9000 万个 Toffoli 门——这相当于在超导表面码架构(superconducting surface-code architecture)上需要不到 500,000 个物理量子比特。之前的估算大约是 900 万个物理量子比特。一篇论文就将需求降低了 20 倍。
一位谷歌研究员给出了这一里程碑的概率:到 2032 年,量子计算机有至少 10% 的机会能从暴露的公钥中恢复 secp256k1 ECDSA 私钥。谷歌官方目前已敦促开发者在 2029 年之前完成迁移。
目前的硬件距离 50 万个量子比特还很遥远。谷歌的 Willow 芯片目前拥有 105 个物理量子比特。IBM 的 Condor 在 2023 年跨越了 1,121 个量子比特的门槛,而该公司的 Nighthawk 在 2025 年达到了 120 个逻辑量子比特。但是,“遥不可及”与“令人不安的临近”之间的距离,正是保险定价生存的空间——如果迁移需要十年时间,那么比特币的风险暴露就不是 2035 年才需要面对的问题。
并非所有比特币都面临同样的风险。脆弱性取决于某种代币的公钥是否曾在链上广播过。
总量是惊人的。据估计,约有 650 万至 700 万枚 BTC 存储在量子脆弱的 UTXO 中,按当前价格计算价值约 4400 亿美元。这并不是隐藏在订单簿角落里的尾部风险。这是加密领域第五大“资产类别”,而其所有权属于尚未露面的攻击者。
Project Eleven 的 2000 万美元资金并非孤立投入。它正处于关于比特币如何实际转型的三方辩论中心,而给出的答案各不相同。
Project Eleven 的旗舰产品 Yellowpages 是一个后量子密码学注册表。用户利用基于格的算法(lattice-based algorithms)生成混合密钥对,创建将新的量子安全密钥与现有 Bitcoin 地址相关联的密码学证明,并将该证明的时间戳记录在可验证的链下账本上。当�(或如果)Bitcoin 采用后量子地址标准时,Yellowpages 的用户已经预先提交了可以申领其代币的密钥。
至关重要的是,Yellowpages 是目前唯一实际部署在 Bitcoin 生产环境中的后量子密码学解决方案。该公司还为 Solana 构建了一个后量子测试网——在其他人还在起草白皮书时,悄无声息地将自己定位为跨链迁移供应商。
由开发者 Hunter Beast 倡导的 BIP-360 提出了一种名为 Pay-to-Merkle-Root (P2MR) 的新 Bitcoin 输出类型。P2MR 的功能类似于 Pay-to-Taproot,但剥离了容易受量子攻击的密钥路径支出(key-path spend),取而代之的是 FALCON 或 CRYSTALS-Dilithium 签名——这两种方案都是被认为具有量子抗性的基于格的方案。
如果通过软分叉激活,BIP-360 将为用户提供一个迁移目的地。然而,它并不能自动解救已经暴露的代币。
于 2026 年 4 月提出的 BIP-361 是最具争议的回应:冻结大约 650 万枚处于量子威胁下的 BTC——包括中本聪(Satoshi)的一百万枚代币——以防止攻击者进行抢跑(front-run)交易。恢复将仅限于从 BIP-39 助记词生成的钱包。P2PK 输出和其他早期格式将实际上被销毁。
该提议将 Bitcoin 社区沿其最古老的裂痕分离开来。一派认为不可篡改性和公信中立性是神圣不可侵�犯的——即使攻击者最终窃取了这些代币。另一派则反驳称,允许 4400 亿美元在单个周末迁移到敌对势力手中将是货币史上最大的财富转移,而且 Bitcoin 固定供应模型的完整性本身就是值得捍卫的属性。
目前没有完美的答案。要么 Bitcoin 接受 650 万枚代币可能被悄无声息盗取的事实,要么接受通过协议级干预冻结代币,而这将建立一个网络在过去 17 年里一直极力避免的先例。
技术基石现在已经存在,因为 NIST 已经将其最终定稿。2024 年 8 月 13 日,该机构发布了三项后量子密码学标准:
美国国家安全局(NSA)的 CNSA 2.0 路线图强制要求在 2027 年前为新的机密系统部署后量子加密,并在 2035 年前完成全面过渡。NIST 自身预计关键基础设施的采用周期为 5-10 年。Cloudflare 的目标是到 2029 年实现全面的后量子覆盖。
Bitcoin 的迁移时间表本应处于这个范围之内。困难在于,主权国家的 IT 部门可以强制执行最后期限。而一个无需许可的去中心化网络必须说服成千上万个独立的参与者在没有 CEO 的情况下进行协作。
Bitcoin 在这场竞赛中并不孤单。2026 年 1 月底,Optimism 为其超级链(Superchain)发布了一份为期 10 年的后量子路线图——这形成了一个有用的对比。
OP Stack 计划分为三层:
Optimism 还在游说 Ethereum 主网,希望其承诺将验证者从 BLS 签名和 KZG 承诺中迁移出来的时间表。据报道,以太坊基金会已参与其中。
架构上的分歧具有启发性。Ethereum 的账户抽象路线图(以及 Solana 的运行时灵活性)使后量子迁移更像是一次智能合约升级。而 Bitcoin 的 UTXO 模型和极简的脚本语言使其成为一场软分叉辩论,需要在开发者、矿工和经济节点之间达成社会共识。同样的问题产生了截然不同的治理挑战。
为什么在今天还没有量子计算机能破解 Bitcoin 的情况下,2000 万美元的 A 轮融资在 1.2 亿美元的估值下是合理的?
这背后的逻辑是精算。如果你认为 Q 日(Q-day)在 2032 年之前发生的概率为 10%,并将其应用于 1.8 万亿美元的 Bitcoin 和 Ethereum 风险敞口,预期损失将超过 1800 亿美元。即使是对该风险敞口收取 1% 的保险溢价,在托管商、交易所、钱包和受监管的代币化平台中也能产生 18 亿美元的经常性收入。Project Eleven 只需要占领其中的一小部分,就足以支撑数十亿美元的估值。
竞争格局非常稀疏。Zama 正在构建全同态加密 (FHE) 原语,而非签名替代方案。Mina 在设计上对后量子友好,但它是一个独立的 L1,而非迁移供应商。AWS KMS 和 Google Cloud HSM 最终将提供开箱即用的后量子签名服务——但追求通用型 PQC 服务的大型云服务商,与实际为 Bitcoin 交付了生产级工具的领域专家团队不可同日而语。
Project Eleven 面临的风险与任何“为必然性而建的基础设施”初创公司相同:如果迁移耗时太长,客户就不会为此预留预算;如果发生得太快,在 Project Eleven 建立分销渠道之前,它就会被云供应商吞噬。A 轮融资为其赢得了在尴尬的过渡期内成为默认选择的资金支持。
实际步骤虽枯燥乏味,且无需等待比特币治理:
即使 Q-day 永远不会以 Google 论文中所描述的形式到来,其中的大多数步骤也是有用的。它们同样能减少针对传统威胁的攻击面。
千年虫(Y2K)的比喻被过度使用了,但在结构上是恰当的。这是一个长期预警、技术性强、重治理、具有外部强制期限的升级,成功是无形的,而失败则是灾难性的。据估计,全球经济为补救 Y2K 花��费了 3000 亿至 6000 亿美元。后量子迁移的成本可能会更高,因为安装基数更大,且正在升级的系统包括没有任何一家公司可以控制的公有区块链。
Project Eleven 的 2000 万美元融资是对比特币无法再忽视时间表的首次严肃承认。Optimism 的 10 年路线图是主要 L2 的首次严肃承认。Google 3 月 31 日的论文则是量子领域巨头首次严肃承认时间线比行业假设的要短。
到 2027 年,预计会出现三件事:至少有一个与后量子地址类型相关的 BIP 达到激活状态(BIP-360 是领先候选者),每个主要的机构托管商都会发布量子准备声明,以及至少还有两家以上的初创公司以 Project Eleven 的模式完成融资。到 2030 年,后量子签名将成为每份企业加密采购 RFP(招标书)中的必选项。
Q-day 可能会也可能不会按照 Google 的时间表到来。抵御它的迁移已经开始,而抢占先机的窗口期正在迅速缩小。
BlockEden.xyz 在 15+ 条链上运营企业级 RPC 和索引基础设施。随着后量子标准的成熟和链级迁移的展开,我们的节点是新签名方案、地址类型和双重支持窗口在生产环境中实际运行所需的层级。探索我们的 API 市场,在为加密转型的长远发展而设计的基础设施上进行构建。
仅在 2026 年 4 月的 18 天内,攻击者就从 DeFi 中抽走了 6.06 亿美元。这一时期的损失是 2026 年第一季度总损失的 3.7 倍,使该月成为自 2025 年 2 月 Bybit 被盗案以来最糟糕的一个月。两个协议——Solana 上的 Drift 和 Ethereum 上的 Kelp DAO——占据了 95% 的损失。这两个协议都经过了审计,都通过了静态分析,都发布了常规升级,但这些升级悄无声息地使审计师验证过的假设失效了。
这是 DeFi 风险的新面孔。2026 年的灾难性漏洞利用不再是模糊测试工具在 CI 中就能发现的重入漏洞或整数溢出。它们是升级引入的漏洞:对桥接配置、预言机源、管理员角色或消息传递默认设置的细微更改,将原本安全的代码变成了敞开的大门——而 Solidity 的任何一行代码看起来都没有明显错误。
如果你在 DeFi 中进行开发、托管或仅仅是持有资产,2026 年 4 月带来的教训是令人不安的:三个月前的一份干净的审计报告,已不再能证明该协议在今天仍然安全。
要理解为什么“升级引入”值得被归为单独一类,请看这两起最大的漏洞利用是如何实际发生的。
Drift Protocol —— 2.85 亿美元,2026 年 4 月 1 日。 Solana 上最大的永续合约 DEX 在攻击者对团队进行了为期六个月的社会工程学攻击后,损失了超过一半的 TVL。一旦建立了信任,攻击者就利用 Solana 的“持久化 nonce (durable nonces)”功能(一种旨在让用户预先签署交易以便稍后提交的 UX 便利功能),诱骗 Drift 安全委员会成员授权他们认为是常规运营签名的操作。这些签名最终将管理权限交给了攻击者,攻击者随后将一个伪造的抵押品代币 (CVT) 列入白名单,存入了 5 亿个单位,并提现了 2.85 亿美元的真实 USDC、SOL 和 ETH。Solana 的功能运行正常。Drift 的合约也在执行管理员的指令。攻击完全发生在多签签署者认为他们批准的内容与实际批准的内容之间的鸿沟中。
Kelp DAO —— 2.92 亿美元,2026 年 4 月 18 日。 LayerZero 认为攻击者是朝鲜的 Lazarus Group,他们劫持了支持 Kelp 跨链 rsETH 桥的两个 RPC 节点,更换了其上运行的二进制文件,并利用 DDoS 强制验证器故障转移。随后,恶意节点告诉 LayerZero 的验证器发生了一笔欺诈交易。该漏洞之所以能被利用,是因为 Kelp 运行了 1-of-1 验证器配置——这意味着单个由 LayerZero 运营的 DVN 拥有确认跨链消息的单方面权限。据 LayerZero 称,这种 1-of-1 设置是其快速入门指南中的默认设置,目前该网络上约有 40% 的协议在使用。在 46 分钟内,攻击者抽走了 116,500 个 rsETH(约占总流通供应量的 18%),并将封装好的抵押品滞留在 20 条链上。列出 rsETH 的 Aave 因存款人竞相退出而被迫陷入流动性危机。
这两起攻击都不需要智能合约漏洞。两者都要求理解一种配置——多签签名流�、默认 DVN 数量、RPC 冗余——是如何被默默地从“运营细节”提升为“承重的安全假设”的。
传统的 DeFi 审计针对的是错误的威胁模型。Certik、OpenZeppelin、Trail of Bits 和 Halborn 等公司擅长逐行代码审查,并针对冻结的合约版本运行不变性测试。这能发现重入、访问控制错误、整数溢出和 OWASP 类型的故障。
但升级引入的漏洞类别具有三个令该工作流失效的特性:
它存在于组合的运行时行为中,而非源代码中。 跨链桥的安全性取决于其消息层的验证器配置、DVN 集合、这些 DVN 的 RPC 冗余以及这些运营商的罚没风险暴露。这些都不在审计师阅读的 Solidity 代码中。
它是通过变更引入的,而不是初始部署。 Kelp 的桥接在最初集成 LayerZero v2 时想必看起来是没问题的。只有当 TVL 增长到足以成为攻击目标,且 Lazarus 投入资源攻击 RPC 基础设施时,DVN 数量才变得危险。
它需要行为差异测试 (behavioral differential testing) —— 即回答“在新的代码路径下,不变性 X 是否仍然保持?”——目前主要的审计公司都没有将此作为定期的升级后服务进行产品化。你在 1.0 版本获得一次性审计,在 1.1 版本获得另一次性审计,但没有持续的声明来证明从 1.0 升级到 1.1 不会破坏 1.0 所依赖的特性。
2026 年第一季度的统计数据量化��了这一差距。整个季度 DeFi 在 34 起事件中记录了 1.655 亿美元的损失。仅 4 月份就在 12 起事件中产生了 6.06 亿美元的损失。部署侧在扩张——第一季度新增了超过 400 亿美元的 TVL——而审计能力、事件响应和部署后验证则基本保持持平。总有些环节会出问题。
每个 L1 和 L2 都在以更快的速度迭代。Ethereum 的 Pectra 升级正在积极推出,Fusaka 和 Glamsterdam 处于设计阶段,而 Solana、Sui 和 Aptos 都在以数周为周期发布执行层变更。每一次链级升级都可能微妙地改变 Gas 语义、签名方案或交易排序,从而对应用层的假设产生波纹效应。Drift 的漏洞利用是一个典型的例子——一个旨在提供 UX 便利的 Solana 特性(持久化 nonce)成为了管理员权限接管的载体。
再质押技术栈——EigenLayer(仍占据 80% 以上的市场份额)、Symbiotic、Karak、Babylon、Solayer——为这个问题增加了第三个维度。像 rsETH 这样的单一 LRT 位于 EigenLayer 之上,而 EigenLayer 又位于原生 ETH 质押之上。每一层都按照自己的计划发布升级。EigenLayer 削减(slashing)语义的改变,会对每个节点运营商以及消费该运营商验证服务的每个 LRT 产生隐含影响。当 Kelp 的桥接被抽干时,这种传染风险立即威胁到 EigenLayer 的 TVL,因为同样的存款人面临着他们从未被强制建模过的三层再抵押敞口。随着即将到来的 EigenDA、EigenCompute 和 EigenVerify 扩展,EigenCloud 的路线图只会进一步扩大这一暴露面。
XION、Brahma Console 和 Giza 等代理栈(Agent stacks)现在正以机器速度与升级后的合约进行交互。人类财务主管可能会在合约升级后等待数天再重新参与,而代理则会在数小时内完成回测、集成并引导资金。任何悄悄破坏不变量的升级,在人类审计师能够重新审查之前,都会受到对抗性流量的压力测试。
令人振奋的消息是,安全研究社区并未坐以待毙。2026 年 4 月的损失催生了四个方面��的具体提案。
持续形式化验证。Certora 与 Aave 的长期合作——作为持续验证赠款而非一次性业务资助——现在已成为模板。Certora Prover 在每次合约更改时都会自动重新运行不变量证明,在合并之前发现破坏点。Halmos 和 HEVM 为实现同一目标提供了替代的开源路径。当形式化验证最近在与 Ethereum 的 Electra 升级集成中捕获了一个传统审计遗漏的漏洞时,这并非偶然,而是一个预兆。
升级差异(Diff)审计服务。Spearbit、Zellic 和 Cantina 已开始试点付费服务,专门审计两个合约版本之间的“差异”,而不是孤立地审计新版本。该模型将每次升级视为一次新的认证,并明确检查先前的不变量是否得以保留。Ethereum 基金会于 2026 年 4 月 14 日启动的 100 万美元审计补贴计划,其合作伙伴名单包括 Certora、Cyfrin、Dedaub、Hacken、Immunefi、Quantstamp、Sherlock、Spearbit、Zellic 和 Zokyo,部分目的就是为了扩大处理此类工作的能力。
混沌工程和运行时监控。OpenZeppelin Defender 和新兴工具正将分叉主网模拟(forked-mainnet simulations)接入 CI 流水线,允许协议针对每一个提议的升级回放对抗性场景。这种学科直接借鉴了 Web2 SRE 的实践——在 DeFi 领域早已迫在眉睫。
时间锁升级托管。Compound Timelock v3 模式中,每个经治理批准的升级都会在执行前在公开队列中停留一段固定的延迟时间,这为社区提供了发现内部审查遗漏问题的机会。它不能防止升级引入的 Bug,但它为漏洞利用前的发现赢得了时间。
传统金融在几十年前就解决了类似的问题。SOC 2 Type II(大多数机构服务提供商遵循的标准)不是一次性认证,而是一个 6 到 12 个月的持续审计窗口。巴塞尔协议 III 的交易对手风险框架要求银行在风险敞口发生变化时更新其资本模型,而不是每年更新一次。升级结算系统的托管银行将不被允许基于“我们审计了 v1,v2 只是个小改动”的基础进行运营。
DeFi 盛行的文化——“审计一次,永久部署,仅在重大重写时重新审计”——是 TradFi 在 2008 年危机后明确拒绝的做法。按照目前的损失率,该行业有望达到 20 亿美元或更多的年度升级漏洞利用损失。这足以引起监管机构的注意,他们已经认为 DeFi 的审计标准不达标;这也足以使持续验证成为机构资本入场的先决条件。
对于协议团队来说,运营任务是明确的,即便代价昂贵:每次升级都必须被视为一个重新推导(而非继承)其安全保证的新发布。这意味着基于差异的定期重新审计、随每个治理提案同步的形式化验证规范,以及执行前的实质性时间锁。这意味着需要像 Aave 那样发布一个量化的级联风险框架,指明你依赖哪些协议,以及当其中一个协议失败时你的风险敞口。
对于存款人来说,教训是“该协议已通过审计”本身不再是一个有用的信号。正确的问题应该是:“针对哪些不变量、针对哪个部署代码版本,进行了最近一次持续验证运行?”无法回答该问题的协议应在定价中体现相应的风险。
对于基础设施提供商(RPC 运营商、索引器、托管商)来说,Kelp 事件是一个直接警示。该漏洞存在于两个二进制文件被悄悄替换的 RPC 节点中。任何运行参与跨链验证的基础设施(DVN、预言机节点、定序器)的人,无论是否自愿,现在都是安全模型的一部分。可复现构建、经过认证的二进制文件、高于 1-of-1 默认配置的多运营商法定人数,以及启动时的签名二进制验证,都不再是可选的。
链级升级——Ethereum 上的 Pectra 和 Fusaka,Solana 和 Aptos 上的并行执行推广,Glamsterdam 的吞吐量目标——将继续扩大暴露面。能够在 2026 年幸存下来的协议和基础设施运营商,将是那些尽早采用持续验证的人,使得他们的下一次常规升级同时也成为下一次可证明的安全检查点。
BlockEden.xyz 在 Sui、Aptos、Ethereum、Solana 和其他十几个链上运行生产级 RPC、索引器和节点基础设施。我们将每一次协议升级(无论是在链层还是应用层)都视为一次新的安全事件,而非维护任务。探索我们的企业级基础设施,在旨在应对未来升级节奏的基石上进行构建。
百分之九十二的安全专业人士对组织内部的 AI 代理感到担忧。在这些组织中,仅有 37% 制定了正式的 AI 政策。这 55 个百分点的差距是 2026 年每份董事会简报的开场白 —— 而这正是 ERC-8220 试图在链上解决的核心问题。
2026 年 4 月 7 日,一份草案提交至 Ethereum Magicians 论坛,提议制定 ERC-8220:带有不可变印封模式的链上 AI 治理标准接口。这是一小群核心开发者开始称之为“代理化以太坊栈”(agentic Ethereum stack)的第四块砖石:身份(ERC-8004)、商业(ERC-8183)、执行(ERC-8211)以及现在的治理。如果它在 Glamsterdam 分叉之前达到 Final(最终)状态,它对自主代理的作用可能就像 ERC-20 之于同质化代币一样 —— 将混乱的设计空间转化为可组合的原语。
该提案的核心思想是“不可变印封”(immutable seal)。ERC-8220 中的其他所有内容都源于此。印封设计正确,其他三个标准突然就有了立足之本。印封设计错误,整个代理栈就会继承一种无声的失败模式。
2026 年 4 月 18 日 KelpDAO 每被盗走 1 美元,DeFi 领域就有另外 45 美元随之流出。这就是事后复盘报告不断提到的比率 —— 一场 2.92 亿美元的漏洞利用在两天内引发了 130-140 亿美元的 TVL 大流出,将整个 DeFi 板块的总锁仓价值推至一年来的最低点,并让越来越多的机构买方确信,“蓝筹 DeFi” 根本不是什么基础设施,而是一个在首次关联冲击下就会撕裂的反身性流动性薄膜。
攻击本身仅持续了几分钟,但其余波仍在重塑开发者、审计师和资金分配者对跨链信任的思考方式。如果 LayerZero 的初步归因成立,那么在 18 天前从 Drift Protocol 窃取 2.85 亿美元的同一支朝鲜黑客部队,刚刚又在其 2026 年的战利品中增加了 2.92 亿美元 —— 使 Lazarus 组织在 4 月份通过两种结构完全不同的攻击向量确认的获利总额超过了 5.75 亿美元。
将 USB 线插入 Nothing CMF Phone 1。等待 45 秒。带走设备上每个热钱包的助记词。
这不是一个理论上的威胁模型。这是 Ledger 的 Donjon 研究团队于 2026 年 3 月 11 日发布的实测演示,目标是联发科 (MediaTek) 的天玑 7300 (Dimensity 7300, MT6878) —— 这是一款采用 4nm 工艺的片上系统 (SoC),广泛应用于全球约四分之一的安卓手机中,也是 Solana 旗舰手机 Seeker 所采用的芯片。该漏洞存在于芯片的引导 ROM (boot ROM) 中,即在安卓系统加载前运行的只读代码。它无法被修复,也无法通过操作系统更新来缓解。唯一的解决办法是更换新芯片。
对于数千万将智能手机视为加密钱包的信任用户来说,这一刻“移动优先的自托管”叙事与硅片的物理特性发生了碰撞。
2026 年 3 月 22 日,一名攻击者带着 10 万美元 USDC 进入 Resolv Labs,带着价值 2500 万美元的 ETH 离开。智能合约没有任何漏洞。预言机没有报价错误。delta 中性对冲策略(delta-neutral hedging strategy)的表现完全符合设计。相反,仅仅是一个 AWS 密钥管理服务(KMS)凭证——一个存在于区块链之外的签名密钥——给了入侵者在 10 万美元存款的基础上铸造 8000 万枚无背书 USR 代币的权限。17 分钟后,USR 从 1.00 美元跌至 0.025 美元,跌幅达 97.5%,以太坊上的各借贷协议都在承受这一冲击。
Resolv 事件之所以引人注目,并非因为它有多高明。它引人注目是因为它一点也不高明。缺失最大铸造额度检查、云密钥管理中的单点故障,以及将脱锚稳定币定价为 1 美元的预言机——DeFi 以前也曾经历过这些失败。这次黑客攻击揭露了一个令人不安的事实:现代稳定币的攻击面已悄然从 Solidity 迁移到了 AWS 控制台,而行业的安全模型尚未跟上。
大多数 Layer 2 是由聘请了密码学家的产品团队构建的。而 Scroll 则是由决定发布产品的密码学家们构建的。这一区别——深深刻在 zkevm-circuits 仓库的 git 提交历史中(早期提交中约 50% 来自以太坊基金会的研究员,另外 50% 来自 Scroll 的工程师)——如今已成为 zkEVM 领域中最有趣的护城河之一。随着六个生产级 zkEVM 竞相争夺相同的 DeFi 结算和机构流量,Scroll 的起源故事不仅仅是营销,更是一种关于底层数学如何被设计、审计和加固的主张,以及当所有人都能快速生成证明时,这种差异是否依然重要。
Scroll 的 zkEVM 并非闭门造车。从最早的提交开始,它就是与以太坊基金会的隐私与扩容探索(PSE)团队共同开发的——正是这些研究员编写了整个行业赖以生存的密码学库。协作程度之深,以至于双方各自贡献了 PSE zkEVM 代码库约 50% 的内容,而 Halo2(驱动电路的证明系统)也由两个团队共同修改,将其多项式承诺方案从 IPA 更换为 KZG。这一改变显著减小了证明大小,并使以太坊上的 ZK 验证在经济上变得可行。
这是竞争对手难以复制的技术点。当编写电路的团队与审计这些电路所编译的密码学库的团队是同一批人时,一类微妙的漏洞就会消失。你不是在集成一个外部原语并祈祷其边缘情况符合你的假设,而是在共同设计接口的两端。虽然 PSE 后来将重点转向了新的 zkVM 探索,但 Scroll 继承的 Halo2 分支仍在向上游积极维护。这很重要,因为 zkEVM 不是一次性交付的产品。它是一个密码学表面,随着以太坊增加操作码、预编译合约和硬分叉变更,需要不断进行扩展。
将其与竞争架构进行对比:zkSync Era 采用 Type 4 方案,将 Solidity 转译为针对证明优化的自定义字节码;Starknet 使用 Cairo(一种专为 STARKs 设计的新语言),这意味着整个开发堆栈都是定制的;Polygon 的 zkEVM 采用了更接近 Scroll 的字节码级方案,但其密码学库和执行环境是内部开发的,而非与以太坊基金会的研究员协同开发;Linea、Taiko 等则分别占据兼容性光谱上的不同点。
他们中没有一个可以诚实地营销“我们的电路是与发明证明系统的研究员共同设计的”。这句话是 Scroll 专属的。
由 Vitalik 撰写的 zkEVM 类型分类已成为行业标准:Type 1 旨在实现每一层的完全以太坊等效性;Type 2 保留字节码级等效,仅进行少量内部修改;Type 3 为性能做出了较大妥协;Type 4 则为了速度完全放弃了字节码。在 2026 年,Scroll 正致力于实现 Type 2,同时在其公共文档中透明地记录每一个操作码和预编译合约的差异。
字节码等效性的实际意义在于:使用标准以太坊工具链编译的 Solidity 合约生成的字节码,在 Scroll 上的运行方式与在以太坊主网上完全相同。无需重新编译,无需自定义编译器,无需特殊库。你在主网上审计的合约,就是你在 L2 上执行的合约。
这听起来像是开发者体验方面的特性,但实际上它是一种安全态势。主网字节码与 L2 执行之间的每一次额外转换,都是可能出现漏洞的表面——这些漏洞可能会在审计结束后、在生产环境中悄然出现。zkSync Era 的转译器曾出现过多个边缘情况漏洞,导致 Solidity 结构在 L2 上的行为与 L1 不同。这些不是理论上的风险,而是当借贷协议的清算逻辑行为与其开发者验证的稍有不同时,会导致 DeFi TVL 归零的那种问题。
Scroll 的取舍是明确的:字节码等效性将峰值吞吐量限制在比那些激进优化的 Type 3 和 Type 4 设计更低的水平。你用 TPS 换取了安全性。对于结算真实价值的 DeFi 协议来说,这种交换几乎总是正确的。对于即使出现漏洞也只是回滚而非破产的游戏和消费级应用来说,这种交换的必要性则没那么明显——这就是为什么领域在碎片化而非整合。
Scroll 的审计历史揭示了团队对电路正确性的重视程度——以及实现它的难度。代码库已由 Trail of Bits、OpenZeppelin、Zellic 和 KALOS 进行了独立审查,不同的公司涵盖了不同的层面:
仅 Trail of Bits 的参与就产生了专门为 Scroll 代码库构建的自定义 Semgrep 规则,这意味着未来的贡献者将继承一个针对项目特定风险面调整过的静态分析层。随着代码的演进,OpenZeppelin 已经进行了多次差异审计——不是在启动时进行一次大型审计,而是对拉取请求进行持续审查。这就是成熟的安全程序在传统软件中的运作方式,而在加密领域仍然罕见,因为在那里“我们经过审计”通常意味着“有人在 2023 年看过一次代码”。
多团队独立审查之所以重要,是因为电路漏洞与智能合约漏洞不同。一个 Solidity 重入漏洞通常可以由细心的读者发现。而 EVM 操作码的 PLONKish 算术化(arithmetization)漏洞则需要审计员既懂 EVM 语义,又懂用于证明它们的约束系统。世界上大概只有几十个人有资格发现这类漏洞,他们分布在 Trail of Bits、OpenZeppelin、Zellic、KALOS 和少数几个学术团体中。Scroll 已经聘请了其中的大部分人。
早期的 zkEVM 原型生成单个区块证明需要数小时。那只是研究演示,而非生产系统。到 2026 年,技术前沿已经发生了翻天覆地的变化:
为什么这在经济上很重要?证明生成成本是 zkEVM 最主要的变量成本。证明器运行的每一秒都是电力和硬件折旧的支出。16 秒证明与 2 秒证明之间的差距,意味着结算区块的成本降低了约 8 倍 —— 这将直接转化为最终用户更低的交易费用,以及 Rollup 运营商更高的利润空间。
更有趣的问题是,证明速度现在是否正在商品化。当每个严肃的 zkEVM 都能提供低于 10 秒的证明时,差异化优势将重新回到安全性、开发者体验和生态系统上 —— 这些正是 Scroll 的研究底蕴和字节码等效性随时间推移产生复利效应的领域。一年前,“我们的证明速度快”是一个合理的营销口号;而在 2026 年,这只是基本门槛。
技术上的优雅并不等同于经济上的吸引力。Scroll 在 2023 年 10 月主网上线后的一年内,其 TVL 突破了 7.48 亿美元 —— 曾一度成为 TVL 最大的 ZK Rollup。到 2024 年底,DeFi TVL 在 2024 年 10 月接近 9.8 亿美元的峰值后压缩至 1.52 亿美元左右。截至 2026 年 2 月,该网络已处理超过 1.1 亿笔交易,支持由 700 多名活跃开发者构建的 100 多个 dApp。
对比 2026 年的 ZK Rollup 排行榜:
Scroll 在这支队伍中的位置处于中游,而非统治地位。技术护城河(“我们是基于 PSE 构建的”)与经济产出(“我们是 TVL 第一的 zkEVM”)之间的差距是真实存在的 —— 这也是该团队在 2026 年面临的战略问题。
对 Scroll 地位的悲观解读:在一个证明生成趋于商品化、每个主流 zkEVM 都拥有权威审计、且用户获取主要依靠激励计划而非密码学优雅的市场中,与 PSE 的合作真的重要吗?用户不会去检查他们的 Rollup 使用了哪种证明系统,开发者在部署稳定币之前也不会对比审计报告。
而乐观的解读是:密码学基础设施这种东西,在发生灾难性后果之前似乎都无足轻重。竞争对手 zkEVM 中一旦出现严重的电路漏洞(例如允许证明器伪造状态转换),对于该链的 TVL 来说将是毁灭性打击,并会导致整个 ZK Rollup 类别的资金重新分配。在这种情况下,“与以太坊基金会研究人员共同构建、通过四个独立电路安全团队审计、与主网完全字节码等效”将成为追求质量的避险资金的��首选目的地。
这并非假设。Optimistic Rollup 领域之所以存在欺诈证明窗口,正是因为业界明白罕见的灾难性失败确实会发生。ZK 领域到目前为止一直很幸运 —— 还没有任何生产环境中的 zkEVM 出现过导致用户资金损失的可验证完备性漏洞。当那一天到来时(从统计学上看,在六个以上运行多年的生产级 zkEVM 中,总会有东西出故障),拥有最深厚研究传统和最冗余审计栈的链将吸收那些流离失所的 TVL。
Scroll 正在为那一天布局。
对于在 2026 年选择 zkEVM 的协议开发者来说,权衡逻辑已经发生了转变。一年前,你根据证明速度、费用和代币激励来选择。今天,这些因素在排名前六的链中日益趋同。持续存在的差异化因素包括:
对于基础设施供应商来说,碎片化是核心现状。六个严肃的 zkEVM,加上 Optimistic Rollups,再加上新兴的 SVM L2 以及应用链 —— 每一个都有自己的 RPC 终端、索引需求和节点软件。这一领域的赢家不是链本身,而是那些能为开发者屏蔽复杂性的中立服务商。
BlockEden.xyz 在 Ethereum、主要的 Layer 2 以及领先的替代链上提供生产级的 RPC 和索引基础设施。如果你正在跨 zkEVM 构建应用,并且需要可靠的终端而无需自行运营节点集群,请 探索我们的 API 市场 —— 它是为那些更愿意交付产品而非运营基础设施的团队而打造的。
Scroll 与 PSE 的合作及其对字节码等效性的坚持,仅凭这两点并不能赢得 TVL 竞赛。激励计划、生态系统合作伙伴关系和机构集成也同样重要,而 Scroll 在这些方面正面临着拥有更雄厚财库和更早建立机构关系的链的竞争。
但其核心主张——即一个与以太坊基金会研究人员共同构建、经过四个独立电路安全团队审计、并刻意受限于主网字节码等效性的 zkEVM,是比其竞争对手本质上更安全的密码学基础设施——这一观点是站得住脚的。在一个罕见的灾难性故障终将到来的领域,这种防御性是极具价值的。其最终价值几何,取决于市场是在事故发生前还是发生后为安全定价。
对于 2026 年,Scroll 的故事在于研究级安全性是否能成为持久的护城河,还是会被那些交付速度更快但密码学积淀较浅的团队所击败。这是 L2 领域正在进行的最有趣的实验之一——其答案将塑造机构配置者在未来几年对 zkEVM 风险的看法。