Bybit 的 Lazarus 安全实验室一份新报告建议,许多主要区块链并不像它们看起来那样去信任化。在一个建立于去中心化的行业中,这显得可疑。
Bybit 的研究人员通过人工智能驱动分析加手动审核,审查了166个区块链的代码库。 他们发现,其中16个网络已经具备内置的资金冻结功能,另外19个则可以通过微调其协议来轻松启用这些功能。
虽然这些功能本意是作为应对黑客攻击和非法转移的保障措施,但它们却重新激发了一个长期存在的问题:支撑加密行业的系统究竟有多去中心化?
这个调查是由一个高调事件推动的:今年早些时候,Sui Foundation在Cetus DEX被黑客攻击后,冻结了超过1.6亿美元的被盗资产。 这种迅速的行动引发了激烈讨论。
如果一个基金会能够冻结黑客的钱包以保护用户,那么有什么能阻止它冻结其他人的资产呢?
这份报告是在Bybit自己的安全事件后发布的。
几个月前,该交易所遭遇了一次价值15亿美元的大规模攻击,是加密史上最大的之一。 在那种情况下,中心化的角色介入了——例如 Circle 和 Tether 冻结了约4290万美元的被盗稳定币,其他协议也帮助追回了额外的资金。
在紧急情况下暂停活动的能力显然有好处。但这也强调了一个悖论:加密网络越依赖这样的“终极开关”来控制威胁,它们就越开始像其旨在替代的传统中心化系统。
冻结加密基金:反黑客攻击与去中心化风险
在区块链上,“冻结”一个账户意味着停止其资产的移动——实际上将其锁定。
在实践中,这通常由块生产者(验证者)或协议规则更改来执行,以防止黑名单地址进行交易。 这些紧急权力是应对泛滥的黑客及欺诈行为而出现的。
逻辑很简单:如果窃贼偷走了百万加密货币,在链上阻止他们在洗钱逃走之前。
例如,在Cetus这次价值1.6亿美元的攻击事件后,Sui基金会在协议层面迅速实施了拒绝名单,以冻结黑客的钱包。
同样地,BNB Chain 的开发人员在2022年跨链桥梁黑客攻击后,硬编码了一个黑名单以阻止570万美元的移动。 甚至早在2019年,VeChain在其基金会钱包被盗660万美元代币后采取了类似的黑名单手段。
这些干预措施在遏制损失方面已经被证明是实用且有效的。
“没有人愿意看到几亿资金消失,”某行业分析师指出。
通过冻结被盗资产,项目买得了时间来调查、追回资金或是与攻击者进行谈判。在Sui的案例中,社区治理投票最终批准了对冻结的Cetus黑客盗取的资金的回收,为受害者恢复了价值。
从纯粹的安全角度来看,暂停交易的能力是区块链运营者在灾难响应工具包中的一个强大工具。
但是,同样可以阻止偷窃的力量也可能削弱去中心化的核心理念。不可更改的、防篡改的交易已被认为是公共区块链的基础特性——“代码即法律”。 一组中心团队能够追溯地停止或逆转交易的想法与此原则相悖。
批评者认为,如果任何权威机构可以单方面冻结分类账上的资产,这就对网络的中立性提出了质疑。
例如,在Sui的紧急冻结之后,一些社区成员认为这是对去中心化理想的“背叛”,指出一个表面上是无许可的网络暴露出一个非常许可的控制点。 这提出了令人不安的问题:到底谁有权在“去中心化”的链上拉终极开关?在什么情况下?这样的权力是否可能被滥用或在未来扩大?
新的Bybit报告揭示了这种在安全与主权之间日益增长的权衡。其关键发现是,这些冻结功能并不是罕见的偶然性——其实比大多数用户意识到的更常见(且更安静地实现)。在分析的166个区块链中,16个(近10%)已经在代码中编写了本地冻结机制。这16个网络中,包含了世界上许多最大的网络,它们合起来占据了超过80%的总DeFi价值锁定。换句话说,今天的大多数加密活动运行在那些至少在某些条件下可以被暂停、过滤或冻结的系统中。这一现实与区块链不受任何人控制的流行观念相冲突。
从治理的角度来看,中心化的风险是显而易见的。
Lazarus实验室的研究人员指出,他们记录的几乎70%的冻结事件发生在验证者或共识层——协议中的一个深层次,不是普通用户立即能看到的。许多情况下,这些“紧急控制”是由一个小团体的内部人士施行:一个项目的核心开发人员、基金会理事会,或一组顶级验证者。这样的实体在决策过程中并不总是透明的。与开放的区块链代码不同,这些人类治理过程往往在闭门或临时情况下进行。
这种可见性的缺乏,加剧了信任被重新引入到原本无信任的系统中的担忧。正如一位观察者所言,去中心化通常在验证者访问的起点结束。
冻结机制如何工作
Bybit 报告确定了三个主要的链上冻结功能类别。
硬编码黑名单
直接写入区块链源代码的冻结逻辑。特定地址可以通过代码更新在协议层面被封锁。这种方法——由BNB链,VeChain等使用——需要发布新的软件(或硬分叉)来添加或移除被禁地址。黑名单在代码库中是公开可见的,但只有协议开发者或授权各方可以通过更新对其进行更改。
配置文件冻结
一种更幕后的方法,验证者或节点操作员通过配置文件(例如 YAML,TOML)加载一个私有黑名单,软件在块生产期间检查该列表。
这种“基于配置的”冻结不需要改变公共代码库,而是网络运营者静悄悄地同意更新设置文件以阻止特定地址,然后重新启动节点。Aptos,Sui和Linea是具有这种能力的第1层链的例子,基本上由验证者线下共识管理。由于这些黑名单存在于节点配置中,通常不对公众可见,进一步激发透明性问题。
链上合约冻结
通过链上命令可以立即列入黑名单或解冻账户的系统级智能合约。这作为一个行政合约具有对交易处理的控制权。
Huobi Eco Chain(Heco)是一个值得注意的案例——它实现了一个由验证者查阅以确定某个地址是否被禁止进行交易的合约。此模型可以更动态(不需要更新列表时重新启动节点),但最终由管理员密钥或优先级治理控制该合约的条目。
实际实施
每种方法实际上都赋予一个小团体在网络上阻止交易的权力——一个传统上由银行或监管机构在旧金融系统中承担的角色。
值得注意的是,这些控制措施被如何悄然插入到不同区块链的架构中。在许多项目中,几乎没有宣传或清晰的文档告知用户这种“暂停按钮”的存在。
通常,这些功能被隐藏在代码库或配置指令中,而不是在白皮书或用户引导文档中被重点提及。
这意味着用户甚至许多开发者可能在链条的冻结机制被危机激活前都不知道它的存在。
根据报告,具有冻结功能的16个区块链中有10个依赖于配置文件方法,赋予验证者通过更新节点设置施加私有黑名单的能力。Aptos,Sui,EOS等属于此类。
因为黑名单条目存在于本地配置中,网络对外界看来正常——公共账本中没有明确标记被冻结的地址。只有那些协调冻结的内部人员(以及任何后续记录了这些地址交易缺失的区块浏览器)能显示出干预已经发生。
另有5个链在其源代码中内置了冻结功能。
Bybit的分析师指出Binance的BNB链,VeChain,Chiliz,“VIC”(报告中确定的一个较小网络)和XinFin的XDC网络为例。在这些系统中,开发人员将黑名单逻辑构建到共识规则本身——一个明显的中心化安全措施。例如,BNB链的代码库包含阻止地址列表,验证者不会将其包含在块中。更改这份列表需要代码更新(通常由Binance核心团队协同进行)。VeChain在其2019年黑客事件后增加了硬编码的“黑名单模块”,虽然该项目声称它是通过社区投票启用的,而不是一个永久后门(稍后会详细说明)。
16个中剩余的一个(Heco)独家使用链上智能合约方法。
译文结束
转换过程解释:[以下是如何将输入 JSON 数据的英文本翻译为 YAML 格式的中文,并根据所需的格式规则进行了适当的格式化和限制]
没有翻译markdown链接。
内容:在报告中也被标示——也包含了一个内置的许可黑名单模块,其功能类似于Tron基金会发起的合约调用,以冻结账户(Bybit总结中没有详细介绍Tron的机制,但从之前的实例可知,Tron节点可以被指示拒绝来自某些地址的交易)。
在所有情况下,无论冻结是基于代码、配置还是合约,最终结果是一样的:在控制该功能的人自行判断下,特定地址可以被禁止进行交易。
一种冻结控制的模板在不同的区块链生态系统中悄然传播。
通过仔细研究GitHub仓库,Bybit团队发现了一些反复出现的模式——交易处理代码中的钩子、“黑名单”变量的引用,或对某些账户列表的检查。这些存在于不同的项目和语言中(例如,像BNB和Chiliz这样的EVM链与像Sui和Aptos这样的基于Rust的链),这表明开发者们已经独立地达成了区块链应有一个紧急制动的共识。从即兴的危机反应开始,这似乎变成了一个标准的设计考虑。而且重要的是,这些控制通常将权力集中在维护代码或运行顶级验证器节点的人手中。正如报告干巴巴地指出,去中心化“常常止步于验证者访问开始的地方”。
具有冻结功能的16个主要区块链
Bybit的研究定位了16个目前具有本地冻结账户或交易功能的公共区块链。下面是这些网络以及它们可以锁定资金的已知机制列表:
- 以太坊(ETH)——可以通过治理干预(例如通过网络升级或类似于提议的EIP-3074的EIP钩子)实施应急暂停。虽然以太坊没有内置的“黑名单”功能,开发者可以在特殊情况下推动一个特别分叉或使用合约逻辑来实现冻结,如2016年DAO回滚所示。
- BNB链(BNB)——利用验证者驱动的黑名单共识。币安支持的链有硬编码的冻结功能;其验证者由币安核心团队协调,可以拒绝处理来自内部黑名单上地址的交易。
- Polygon(POL)——在交易池中使用动态地址过滤。Polygon的节点可以配置(通过分叉或更新)以过滤涉及某些地址的交易,有效地防止黑名单账户被纳入新区块。
- Solana(SOL)——支持用于黑名单的运行时配置更新。Solana的设计允许核心团队或治理实体快速推送全网配置更改。理论上,这可以被用来在验证器软件层部署黑名单或暂停某些账户。
- Avalanche(AVAX)——具有治理触发交易暂停。Avalanche可以利用其链上治理(通过验证者投票)在C链和子网中实施应急暂停或特定地址限制,如果大多数验证者同意。
- Tron(TRX)——协议中的内置黑名单模块。Tron网络,由Tron基金会监督,具有让当局冻结账户的功能(例如,为了遵守执法请求或防止黑客攻击,如在涉及TRON资产的过去事件中所见)。
- Cosmos(ATOM生态系统)——IBC模块暂停和地址禁用。Cosmos及其基于SDK的区块链尚未使用全球冻结,但跨链通信(IBC)系统和模块账户可以通过协同升级来阻止跨区域的传输或黑名单地址。
- Polkadot(DOT)——通过中继链的平行链特定冻结。Polkadot的治理可以对平行链进行运行时升级。在紧急情况下,中继链可以对问题平行链或地址实施冻结或回滚,需经Polkadot的链上投票。
- Cardano(ADA)——通过硬分叉进行地址排除。Cardano没有简单的冻结操作码,但通过其硬分叉组合器升级,社区可以引入排除某些UTXO或地址的规则(例如,在一个新的时间段不承认由黑名单密钥控制的输出)。
- Tezos(XTZ)——支持冻结的治理投票。Tezos的自我修正账本可以通过协议修改纳入冻结机制。如果利益相关者投票在升级中包括一个黑名单或暂停功能(供紧急使用),它将成为Tezos协议的一部分。
- Near协议(NEAR)——分片级交易过滤器。NEAR的分片设计可能允许其协调节点过滤或拒绝针对给定分片中特定地址的交易——一种可以通过协议治理在极端情况下部署的功能。
- Algorand(ALGO)——具有撤销密钥的原子转账。Algorand的标准资产(ASA)框架包括一个选项资产冻结和发行者撤回功能。虽然ALGO本身不能被冻结,但许多Algorand代币具有冻结控制。Algorand还支持强制转账交易(如果授权),通过将资金从黑名单地址移出,模拟冻结。
- Hedera Hashgraph(HBAR)——行政代币冻结控制。Hedera,由其企业委员会管理,提供内置代币的管理员功能。被批准的管理员可以冻结代币转账或甚至抹除余额。网络的许可模型意味着委员会很可能在需要时也可以在账本级别上冻结账户。
- 恒星(XLM)——在资产发行中的撤回和冻结条款。恒星允许资产(代币)发行者启用“撤回”功能,使他们能够在某些条件下冻结或收回用户钱包中的代币。这已被恒星上的受监管稳定币发行者使用,相当于在生态系统中的部分冻结机制。
- Ripple XRP Ledger(XRP)——托管和信任行冻结功能。XRP账本不允许冻结本地XRP货币,但它确实允许IOU代币(如账本上的稳定币或证券)的发行者全球冻结资产或特定信任行。Ripple的网络还支持在托管合同中锁定XRP(时间锁定持有),这与限制资金移动有关。
- VeChain(VET)——基于权限的交易控制。VeChain的权限主节点系统在2019年在黑客攻击后启用了一个黑名单。基金会通过社区批准,激活了一致性检查,导致验证者拒绝任何来自黑客地址的交易——有效地冻结了这些资金。
需要注意的是,并不是所有项目都同意其冻结功能的描述。
例如,Bybit报告发布后,VeChain团队公开否认其协议有一个永久的硬编码冻结。
VeChain基金会解释说,在2019年事件中,社区投票通过了一次性修补——共识规则更改——在验证器层面阻止了黑客的地址。
“VeChainThor的软件包括共识级别的检查,通过社区治理启用后,使资产无法移动,”团队写道,并强调该措施是通过治理批准的,而不是一个常开功能。换句话说,VeChain主张在正常操作中并没有秘密的杀开关;他们只是通过适当的程序修改了代码以冻结那些被盗的资金。这个回应突显了问题的敏感性——没有区块链希望被视为被集中控制的,即使在紧急情况下他们确实如此行事。
排队等候:19个网络只需几次点击即可获得冻结权
或许比16个具有冻结功能的区块链更令人震惊的是,报告警告称另外19个网络可以通过最小化努力采纳类似的控制。在许多情况下,黑名单代码框架或暂停交易已经存在或容易添加。可能只需更改几行代码,或者设置一个配置标志,即可启用该功能。
这种情况如何普遍化?可能非常普遍——如果开发者觉得这种权衡是值得的。
Bybit的团队确实指出了几个具体项目在此“可轻松冻结”类别中。
他们指出,像Arbitrum、Cosmos、Axelar、Babylon、Celestia和Kava这样受欢迎的链是那些可以通过相对较小的协议变化启用资金冻结的链。这些网络目前没有宣传任何冻结功能,但它们的架构使得引入一个功能并不困难。
例如,许多Cosmos基础链使用模块账户系统(用于治理或费用收集账户等用途)。
正如研究人员所观察到,那些模块账户可以被调整以拒绝来自某些地址的出站交易。到目前为止,没有任何Cosmos生态系统区块链用它来对用户进行黑名单——这样做需要通过治理批准的硬分叉,并在交易处理逻辑中做出小的代码更改。但这种情况在随着单一更新变为可行的情况下,意味着蓝图已经在那里,等待一个决定。
在实践中,在这些附加链上启用冻结功能可能会遵循一个熟悉的模式:一次重大的黑客攻击或迁移受到监管压力可能促使开发者说,“我们需要这个工具。”实际上,在Sui发生1.62亿美元的黑客攻击和冻结之后,Aptos网络(另一个使用Move语言的链)在几周内静悄悄地在其代码中增加了黑名单功能。他们认识到问题的严重性:如果没有冻结机制,如果类似的漏洞攻击他们的生态系统,他们将无计可施。
这展示了一个项目的先例如何影响其他项目。如果还有几起高调事件发生,很容易想象一连串的区块链迅速实施潜在的冻结开关,以备不时之需。
相似代码模式的普遍性表明,在这一问题上,行业已经趋向于某种程度的一致性。“这不是异常——它正在成为业界标准模板,”报告在谈到链上冻结逻辑时这样说道。许多较新的区块链似乎从较旧网络的早期黑客攻击中吸取了教训(无论好坏)。
他们可能在其设计中加入允许选择性集中化行动的接口,即使他们没有公开宣传这些接口。
在某些情况下,这些接口被 Bybit 的 AI 扫描工具发现:团队利用了一个 AI 模型(Anthropic 的 Claude 4.1)扫描了数百个仓库,寻找与黑名单和交易过滤相关的关键字和代码结构。
这个 AI 助手在各种项目中标记了数十个潜在实例。
并不是所有的都是真正的冻结功能——一些误报包括用户级别的功能,而不是协议级别的控制。但需要自动化手段来筛选这个问题的普遍性,这说明“去中心化控制”的界限已变得模糊。
研究人员最终仍需手动验证每个案例,说明即使是专家也可能难以辨别哪里一个区块链隐藏了控制的杠杆。
Bybit 的报告强调,更多网络中存在冻结能力不是假设。这在精神上已经成为常态,即使不是在字面上。不同之处仅在于项目是否已经启动了这个开关。很多项目可以通过一次硬分叉,甚至是一个运行时配置更改来做到这一点,这意味着绝对不可变性的原则在实际操作中受到妥协。我们正趋向于大多数区块链都有某种程度的“停止按钮”——无论是活跃的还是待命的。这提高了透明度的要求:如果这些开关是普遍存在的,用户和投资者会想知道谁可以启动它们以及如何启动。
务实的安全还是隐藏的中心化?
围绕这些发现的争论基本上可以归结为一个经典的困境:紧急干预的好处是否大于对去中心化的损害?
冻结功能的支持者认为它们是务实的安全措施——在黑客攻击、漏洞利用和盗窃猖獗的世界中,必须有的选项。事实上,报告记录了冻结如何挽回了大量价值。Sui在Cetus DEX攻击后的迅速行动可能保住了1.62亿美元不会被永远卷走。
BNB Chain在其2022年漏洞中的黑名单帮助遏制了5.7亿美元的漏洞,防止了进一步的传染扩散至币安的生态系统。VeChain在2019年冻结盗窃的660万美元代币保护了项目的资金库和社区基金免于不可挽回的损失。这些事件中的每一个都可能是灾难性的;干预的能力将它们从致命变成了仅仅痛苦。
“没有它们,像Cetus或BNB桥漏洞这样的事件会让投资者一无所有,”报告中在为这些机制辩护时指出。
然而,每当区块链行使这种覆盖权时,它就会削弱区块链技术的基础信任特性。抗审查性——保证没有人可以阻止有效交易——是人们信任去中心化网络的原因之一。如果用户开始觉得一个基金会或委员会可以随时介入并冻结资金,其与传统银行的心理(和法律)差异就开始模糊了。Bybit的研究人员警告说,即使是出于善意的冻结也设立了一个先例:
“链一旦冻结资金一次,就很难想象不会再这样做,”他们写道。担心的是,从一个例外措施开始的东西可能会变成一个常规的控制工具。
有迹象表明这条线已经在移动。
根据报告的数据,近70%的记录冻结事件是通过验证者或区块生产者在共识层采取的行动发生的。这很重要,因为这是系统最深层次的——意味着审查是被嵌入到区块生产本身,而不仅仅是表层应用层。普通用户甚至不知道这在发生;链只是停止处理某些地址的交易,没有给出链上的解释。
在大多数情况下,冻结的决策是由小的治理委员会、基金会团队或核心开发组做出的。
这些委员会往往是没有选举产生的,如果是选举产生的(像一些验证者集),它们往往是内部强势的,并不对全球数百万用户直接负责。因此,这些冻结可能类似于中心银行或政府法令的行动,没有去中心化应该保证的那种制衡。
围绕这些紧急行动的不透明是一个主要的担忧。
在Sui的案例中,冻结资金的协调是通过Sui基金会与验证者之间的幕后协议实现的。没有链上提案或事先的用户投票;这是一次紧急反应。
类似地,Aptos新添加的冻结功能据称通过验证者的私人配置文件管理,并且“只有少数人知道”谁维护黑名单或如何做出这些决策。这种隐秘的方式在危机中可能有效,但它将社区排除在外,缺乏透明度。
即使在相对公开其硬编码黑名单的BNB Chain,控制权“稳稳在币安的开发者核心”手中,分析指出。也就是说,决定谁在BNB上被列入黑名单最终是取决于币安的领导——这是一种更接近于公司而非去中心化社区项目的授权结构。在Heco的基于合约的冻结案例中,由协议运营者持有的管理密钥可以决定哪个地址在网络上生存或被删除。
对于批评者来说,这些现实验证了长期以来的怀疑:许多所谓的去中心化区块链仅仅是名义上的去中心化。“基金会、验证者和监管者之间的界限正在迅速模糊,”如某评论所说。当发生紧急情况时,大多数主要网络都可以表现得像集中化中介:它们可以冻结资金、逆转交易,或以用户可能不了解的方式治理用户活动。
加密社区已经在类似问题例如OFAC制裁合规上看到类似的辩论,2022年,以太坊验证者开始在区块中审查受制裁的地址。这也被视为一个滑坡,其外部压力导致去中心化系统内实际集中行为的出现。
另一方面,紧急权力的拥护者认为,干预能力是加密“成长”过程中不可或缺的一部分。当区块链平台成为主流,并承载数十亿美元的价值时,不能忽视黑客和犯罪的现实。
即使是最坚定的去中心化支持者也可能承认,如果他们自己的资金被盗,他们会欢迎适时的冻结来追回它们。关键,也许在于围绕这些能力确保适当的治理和透明度。
Bybit的安全部门负责人David Zong领导了这项研究,他如此表述:区块链可能是建立在去中心化之上,“然而我们的研究表明,许多网络正在开发切实可行的安全机制,以迅速应对威胁。”
他说,关键是“透明度建立信任”——这意味着如果这样的机制存在,它们应被公开披露并接受监督,而不是藏在代码中。
最糟糕的结果是秘密后门或冻结按钮,用户在事情发生时才得知其存在。
相比之下,如果一个项目公开声明保留紧急制动,并给出清晰的政策关于它如何及何时使用(例如,仅在超过X金额的黑客攻击中,需多签名批准等),用户和投资者可以自行判断这种权衡。
VeChain早先提到的回应是示例性的。他们没有否认冻结资金——他们为此进行了辩护,将其描述为由社区治理的行动,而不是单方面行动。这暗示出可能的中间立场:任何冻结都应该通过某种形式的去中心化决策过程进行。在VeChain的案例中,他们声称代币持有者批准了黑名单。在Sui的案例中,事后通过社区投票批准了恢复计划。虽然这些治理步骤可能并不完美(批评者会指出,基金会影响力常常能够左右投票或紧急时刻排除了漫长的辩论),但至少它们尝试了与去中心化原则保持一致。替代——由少数核心开发者决策——与加密所寻求逃避的集中化系统具有极其相似的不舒适。
几乎一年后的2016年,以太坊历史性的“DAO分叉”——可以说是第一次链上资金干预——这一行业仍在挣扎着同样的核心问题:区块链是否应该在链上活动中进行干预,即使是为了纠正错误?
可能永远没有一刀切的答案。不同网络采取不同的立场,从比特币的绝对不可动性(甚至中本聪时代的盗窃也无法逆转)到像Tezos或Polkadot这类更灵活、以治理为重的链,它们明确允许社区主导的改变。清楚的是,内容:这些冻结机制模糊了集中化与去中心化的二分法。
许多网络处于两者之间的灰色地带——日常运营是去中心化的,但在极端情况下具有集中化的覆盖能力。将其视为审慎的风险管理还是可能的致命妥协,可能取决于个人的理念,也许还取决于他们是否曾经在黑客攻击中遭受损失。
结语
Bybit的报告揭示了一个令人不安的事实:冻结资金的能力现已成为区块链领域的一部分,尤其是在顶级网络中。
行业面临的选择不再仅仅是“中心化与去中心化”。而是诚实的治理与隐藏的控制之间的选择。
坦诚其权力并将其置于民主检查之下的项目可能会保持其信誉——他们会说我们大部分是去中心化的,除非在紧急情况下,这就是其具体运作方式。
相比之下,如果这些权力仍然不透明且不受约束,只是迟早会播下不信任的种子或被滥用。随着监管审查的增加,一些司法管辖区甚至可能要求具备链上冻结功能(欧盟和新加坡已经提出了法律中的“紧急制动”条款想法)。机构投资者也可能更青睐那些能够控制风险的网络,即使这意味着牺牲一些去中心化。
这可能导致“合规”链和拒绝干预的“纯粹主义”链之间的分裂,从根本上重塑加密生态系统的身份。
最终,加密领域的去中心化并未消亡——而是正在成熟,并面临严峻的现实考验。