a16z Crypto警告：DeFi應告別“代碼至上”，以規範優先應對6.49億美元漏洞風險

1月20日消息，风险投资机构 a16z Crypto 發布最新安全觀點，呼籲去中心化金融（DeFi）協議逐步放棄長期奉行的“代碼至上（Code is Law）”理念，轉而採用“規範優先（Norms First）”的設計原則，以降低頻繁發生的安全漏洞風險。數據顯示，過去一年內，DeFi 行業因代碼缺陷和合約漏洞遭受的攻擊損失合計已達 6.49 億美元，安全問題正成為制約行業成熟度的關鍵瓶頸。

a16z Crypto 高級安全研究員 Daejun Park 指出，當前 DeFi 仍普遍依賴“事後修補”的安全模式，即在漏洞被利用後再進行升級或補救。這種路徑在資金規模持續擴大的背景下已難以為繼。他強調，協議應在設計階段就引入標準化、可執行的行為規範，將安全約束直接寫入系統運行邏輯中，而不是完全依賴代碼按既定路徑執行。

所謂“規範優先”，核心在於通過預設的不變性檢查和運行時約束，限制協議可執行的行為範圍。一旦交易觸發異常模式或違反既定規則，系統即可自動回滾或中止執行。Park 表示，從過往攻擊案例來看，多數漏洞在執行過程中都會偏離正常行為軌跡，如果存在強制規範機制，攻擊在早期階段就有機會被阻斷。

這一討論再次被推到台前，與多起高額安全事件有關。即便是運行多年的成熟協議，也未能完全避免漏洞風險，凸顯出單純依賴“代碼裁決一切”的治理思路存在結構性缺陷。同時，隨著黑客開始借助人工智能手段掃描合約漏洞，DeFi 面臨的安全挑戰正在升級。

不過，業內也指出，“規範優先”並非萬能方案。額外的運行時檢查可能推高 gas 成本，影響協議在低費用競爭中的優勢。同時，並非所有攻擊路徑都能被提前抽象為規則約束，一些複雜或罕見的漏洞仍可能繞過檢查機制。

儘管如此，越來越多的協議已開始嘗試引入不變性檢查與形式化驗證工具，以提升系統穩健性。在行業規模不斷擴大的背景下，從“代碼至上”走向“規範優先”，正被視為 DeFi 迈向成熟、吸引長期資本的重要一步。