审计还不够？数据显示，已审计的DeFi项目损失了33亿美元

审计很重要，但它们并不是魔法护盾。这是区块链数据分析平台Sentora最近一篇帖子中的直白结论，配以一张柱状图，详细展示了在DeFi黑客和漏洞中损失的数十亿资金。数据涵盖2020年至2025年(，不包括Terra崩溃)，并明确指出一个令人不安的事实：即使是支付了安全审查费用的项目也会遭受重大损失。

“审计对于DeFi来说至关重要，但并不能保证安全，”Sentora写道。“在’20–’25年间，经过审计的项目损失超过33亿美元，主要由地毯式拉盘、私钥泄露和审计后变更等原因造成。DeFi审计是基础，但有效的风险管理仍然需要主动监控风险。”

配套的图表按审计机构对损失进行排序，显示未审计项目遭受的损失最大，约在$5 十亿左右，但也显示经过审计的项目以及像Certik、NCC Group和Trail of Bits这样的知名公司也远非免疫。

层层叠加的问题

结合图像和Sentora的总结，可以勾勒出一个层次分明的问题。一方面是显而易见的：跳过审计或敷衍了事的项目付出了代价。另一方面，同样重要的是，审计本身只是快照，通常是在最后一刻的代码修改、治理变更或引入新管理员密钥之前进行的。

这些审计后修改，以及捕获私钥的社会工程攻击和内部人员的恶意拉盘，构成了Sentora指出的受审项目中33亿美元损失的很大一部分。图表还突出显示了一个中间类别，即被归为“其他(68)”的小型审计机构组成的长尾部分，它们共同占据了相当一部分损失。

这表明问题不仅仅在于项目是否经过审计，更在于审计的质量和全面性、审计机构的范围，以及报告发布后的后续行动。遗漏关键设计假设的审计，或团队忽视建议的缓解措施，都可能留下漏洞。

安全从业者多年来一直强调，一次审计应被视为安全计划的起点，而非终点。持续监控、分阶段部署、多签控制、权限功能的时间锁、主动的漏洞赏金计划和保险产品，都是构建更具韧性的安全策略的一部分。

Sentora的观点强调，审计设定了最低标准，但团队和投资者必须层层加码保护措施，并持续关注。对于一个重视组合性和快速迭代的DeFi生态系统来说，这种紧张关系是真实存在的。开发者希望快速上线新功能并灵活调整；审计员需要足够的范围和时间进行彻底检查；而攻击者则在他们之间寻找短暂的窗口。

数据的结论简单而令人不安：在审计上的投入仍然是必要的，但社区也需要更好的审计后纪律和操作保障，才能有效减少损失。

Sentora的帖子和图表提醒我们，DeFi中的安全是一个过程，而非一纸证书。审计有助于发现问题，但不能阻止问题发生。除非团队将安全视为持续的工作，而非打勾式的任务，否则头条数字可能会持续增长。