a16z Crypto cảnh báo: DeFi nên từ bỏ "mã hóa tối thượng", ưu tiên quy chuẩn để đối phó với rủi ro lỗ hổng 6.49 tỷ USD

1月20日消息，风险投资机构 a16z Crypto 发布最新安全观点，呼吁去中心化金融（DeFi）协议逐步放弃长期奉行的“代码至上（Code is Law）”理念，转而采用“规范优先（Norms First）”的设计原则，以降低频发的安全漏洞风险。数据显示，过去一年内，DeFi 行业因代码缺陷和合约漏洞遭受的攻击损失累计已达 6.49 亿美元，安全问题正成为制约行业成熟度的关键瓶颈。

a16z Crypto 高级安全研究员 Daejun Park 指出，当前 DeFi 仍普遍依赖“事后修补”的安全模式，即在漏洞被利用后再进行升级或补救。这种路径在资金规模持续扩大的背景下已难以为继。他强调，协议应在设计阶段就引入标准化、可执行的行为规范，将安全约束直接写入系统运行逻辑中，而不是完全依赖代码按既定路径执行。

所谓“规范优先”，核心在于通过预设的不变性检查和运行时约束，限制协议可执行的行为范围。一旦交易触发异常模式或违反既定规则，系统即可自动回滚或中止执行。Park 表示，从过往攻击案例来看，多数漏洞在执行过程中都会偏离正常行为轨迹，如果存在强制规范机制，攻击在早期阶段就有机会被阻断。

这一讨论再次被推到台前，与多起高额安全事件有关。即便是运行多年的成熟协议，也未能完全避免漏洞风险，凸显出单纯依赖“代码裁决一切”的治理思路存在结构性缺陷。与此同时，随着黑客开始借助人工智能手段扫描合约漏洞，DeFi 面临的安全挑战正在升级。

不过，业内也指出，“规范优先”并非万能方案。额外的运行时检查可能推高 gas 成本，影响协议在低费用竞争中的优势。同时，并非所有攻击路径都能被提前抽象为规则约束，一些复杂或罕见的漏洞仍可能绕过检查机制。

尽管如此，越来越多的协议已开始尝试引入不变性检查与形式化验证工具，以提升系统稳健性。在行业规模不断扩大的背景下，从“代码至上”走向“规范优先”，正被视为 DeFi 迈向成熟、吸引长期资本的重要一步。