去年六月,$NEWT 在HTX上线,开盘价接近0.49美元。整整一年过去,价格跌到0.05美元附近。跌了将近90%。很多人归咎于市场情绪,但我看到的,是一套复杂到让人后背发凉的智能合约体系。

二层合约、质押合约、代理注册表合约、权限授权zk-Permission合约、罚没合约、治理合约——整整六份核心合约,再加上辅助模块。每一份都有独立的逻辑,每一份又必须与其他合约紧密咬合。白皮书里写得很克制:“The protocol combines smart accounts, zkPermissions, and execution coordinators”。翻译成人话:你每操作一步,至少有三份合约在背后同时运转。

这听起来很性感,但我心里只有一个念头:攻击面太大了。#Newt

这不是普通的DeFi项目。普通DeFi项目通常只有一两份核心合约,攻击者需要找到的突破口有限。Newton的六份合约之间存在着复杂的调用关系——用户授权走zk-Permission,任务匹配走执行协调器,资产托管走质押合约,代理注册走注册表,纠纷处理走罚没合约,参数调整走治理合约。任意一段代码出现漏洞,攻击者就能顺着一份合约渗透到另一份,盗走质押的NEWT、国库代币、用户资产。@NewtonProtocol

更让人不安的是安全审计的现状。根据第三方评级平台APYWA的数据,Newton Protocol的安全审计状态一栏写的是“None”。CertiK代码安全评分仅为55分。这个分数在CertiK的评级体系中属于什么水平?绝大多数通过严格审计的项目都在80分以上。55分意味着代码中可能存在大量未被发现的中高危漏洞。

一个管理着用户资产质押、代理执行、跨链结算的多合约系统,没有完成任何公开的安全审计——这不是“风险”,这是“裸奔”。

我翻了一下GitHub上newt-foundation的代码仓库,过去三个月的提交记录只有103次。对于一个从白皮书到主网只有一年时间、合约数量如此庞大的项目来说,这个开发活跃度低得让人心里发紧。更关键的是,这些提交里有多少是在修复安全漏洞?没人知道。因为代码没有经过第三方审计,连项目方自己可能都不清楚哪些地方藏着雷。

价格已经给出了答案。从0.717美元的历史高点跌到0.05美元,市值从数千万美元缩水到约1100万美元。市场在用脚投票——不是因为情绪不好,是因为大家看到了那六份合约之间的复杂调用关系,看到了“None”的安全审计状态,看到了55分的CertiK评分,然后默默关掉了买入页面。

当一个项目的核心资产安全完全系于一套未经审计的六合约嵌套系统上时,投资者赌的不是技术能不能跑通,而是黑客什么时候找到入口。过去一年里,因智能合约漏洞导致数千万美元被盗的项目还少吗?Newton的七份合约串在一起,像一颗被拧紧发条的定时炸弹。没有人知道它什么时候会响,但所有人都知道——一旦响了,NEWT连0.05美元都保不住。

当一份合约的漏洞就能让整个系统归零时,你觉得“还没被黑”算不算一种安全?