如果你在一列时速两百公里的动车上,突然发现制动系统出了故障。你肯定不能让火车停下来,更不可能拆掉车头去换刹车片。

唯一能做的,就是让工程师攀附在疾驰的车身外,在狂风中把旧制动片卸下来,再换个新的上去。哪怕手抖了一下,或者拧错了一个螺丝,整列动车就会在一瞬间脱轨。

这种极度惊险的高空换轨,每天都在链上既有状态的合约里发生。为了在以太坊和 Base 上接入 @NewtonProtocol 的策略保护,许多金库在六月主网上线后,直接通过 VaultKit 模块完成了免停机的代理升级热插拔。

免去停机迁移的工程破坏性,确实让大资金在接入安全策略时省去了不少麻烦。

慢着,盯着这个由 Magic Labs 孵化、背靠 PayPal 和 Coinbase 等巨头九千万美元融资背书的协议,我发现它的代币 NEWT 仅有 21.5% 的初始流通率。我突然感到有些发凉。

为了确保这一次升级的插槽安全,开发团队需要在本地沙盒里进行三周以上的分叉测试,还要给审计机构支付高达 50,000 美元的专项插槽对齐审计费。这笔昂贵的时间与审计磨损,本身就是一笔沉重的重力。

更残酷的是,这种免停机升级并没有消除技术风险,而是将所有的安全指标,全部押注在多签执行的那一瞬间、以及那一串十六进制的参数地址上。目前管理器的核心控制权依然集中在 5-of-9 的多签密钥手中。

如果多签签名者在升级执行时因为粗心输错了一位参数,或者多签私钥被黑客通过社交工程学钓鱼,整个金库的控制权就会瞬间易主,成为黑客眼中的特权蜜罐。

当下一个复杂的网络分叉或者清算风暴来临时,那组在本地沙盒里演练了千万遍的插槽快照,到底能不能在真实的混乱中替用户挡下致命的一枪?谁来确保在慌乱中不会有人输错那个绝对不容有失的十六进制字符?
#newt $NEWT $BTC $ETH