@Bedrock 再次檢視Bedrock的安全架構,而我一直回到的並不是漏洞本身。

而是隨後發生的事情。

大多數協議在遭遇事件後,會發布事後報告,修補漏洞,然後繼續前進。Bedrock則採取了不同的路徑。在2024年9月的漏洞之後,他們將Chainlink Secure Mint直接整合到uniBTC的發行流程中。

從理論上講,這個機制很簡單。

在鑄造新的uniBTC之前,合約會驗證總供應量——包括待鑄造的部分——是否仍然由已驗證的BTC儲備支持。如果抵押品要求未滿足,交易會自動回退。

考慮到漏洞源於小數點不匹配,讓攻擊者能夠存入30.8 ETH並獲得30.8 uniBTC,彷彿ETH和BTC的價值相同,增加一層獨立的儲備驗證層是合理的。

這個修正針對了一個實際的弱點。

我一直在思考的並不是新系統是否更好。

顯然是的。

問題是用戶實際上應該從中學到什麼教訓。

涉事的合約已經過審計。安全公司檢查了代碼。問題仍然進入了生產環境。

現在這個協議最強的安全論點不是審計報告。

而是運行在鑄造交易本身內部的主動約束。

這感覺像是一個微妙但重要的轉變。

多年前,DeFi安全通常是透過審計數量和公司名稱來傳達的。更多的審計意味著更多的信心。

但儲備驗證、自動檢查和交易層級控制則完全是不同的類別。它們並不承諾不會存在漏洞。它們只是減少了當事情出錯時的後果。

也許這就是協議安全的未來走向。

不再強調證明系統是完美的。

而是更強調設計當系統不完美時仍然安全的系統。

我仍在想的是用戶是否已經開始以不同的方式看待這兩個概念了呢…
#Bedrock $BR $BSB $EVAA