從 Drift 被駭到開源安全工具:crypto-project-security-skill 完整介紹

我在 Drift Protocol 被駭 2.85 億美元之後,花了一週時間做了一件事:把事後分析中學到的所有教訓,變成一個可以在事前就抓出問題的自動化工具。

這個工具是一個 Claude Code Skill——一種可以被 AI 編程助手直接調用的安全審計框架。它叫做 crypto-project-security-skill,現在已經開源在 GitHub 上。

本文將完整介紹這個工具的設計理念、運作方式、以及它在 56 個協議上的驗證結果。

為什麼需要這個工具

Drift 事件最讓人震驚的不是金額,而是攻擊向量:沒有任何智能合約漏洞被利用。攻擊者透過社會工程學取得多簽成員的預簽名,再利用零時間鎖的治理架構,在 12 分鐘內清空金庫。

傳統的 DeFi 安全審計幾乎完全聚焦在程式碼層面——找 reentrancy、找 overflow、找邏輯錯誤。但 Drift 的案例證明,治理架構、管理金鑰權限、時間鎖配置這些「非程式碼」的安全層,才是真正的致命弱點。

現有的安全工具也有盲點:

  • 智能合約審計公司(Trail of Bits、OpenZeppelin)專注程式碼review
  • DeFiLlama 提供 TVL 數據但不做安全評估
  • GoPlus 做代幣層級的蜜罐檢測但不涵蓋治理分析
  • rekt.news 記錄事後,不做事前預警

沒有一個工具把這些維度整合在一起,從治理到預言機到經濟機制做全面評估。這就是 crypto-project-security-skill 要解決的問題。

設計理念:治理優先

這個工具最核心的設計決策是治理權重加倍

在傳統安全評分中,智能合約漏洞通常佔最大權重。但根據 2024-2026 年的攻擊數據,因治理和管理金鑰問題導致的資金損失已經超過了純程式碼漏洞。Drift(2.85 億)、Radiant Capital(5000 萬)、Beanstalk(1.82 億)——這些都不是程式碼的問題。

因此,在最終風險評級中:

  • 治理與管理金鑰的評分權重是其他類別的 2 倍
  • 如果治理類別被評為 CRITICAL,整體就是 CRITICAL
  • 如果任意兩個類別被評為 HIGH,整體就是 HIGH

這個加權邏輯直接反映了現實世界的攻擊分佈。

十步審計流程

整個審計分為十個步驟,從快速篩選到完整報告:

Step 0:快速分類

第一步不是深入分析,而是快速判斷這個協議值不值得深入。工具會:

  • 從 DeFiLlama API 拉取 TVL 數據
  • 透過 GoPlus Security API 掃描代幣安全性(蜜罐檢測、持有者集中度、交易限制)
  • 計算一個 0-100 的機械分類分數和一個 0-100 的數據信心分數

機械分類分數基於紅旗扣分:沒有審計扣 20 分、TVL 低於 1000 萬扣 15 分、代幣被標記為蜜罐直接歸零。數據信心分數則衡量我們能驗證多少資訊——如果大部分數據都是「UNVERIFIED」,信心分數會很低,這本身就是一個風險訊號。

Step 1:資訊收集

廣泛搜集協議的公開資訊:

  • 架構文件、白皮書
  • 歷史安全事件(特別查詢 rekt.news)
  • 審計報告歷史
  • 治理配置(多簽門檻、時間鎖、升級機制)
  • Bug bounty 計畫
  • 選擇 2-3 個同類型、相近 TVL 的協議作為對照組

Step 2-4:三大支柱深度分析

這是審計的核心,分三個維度獨立評估:

治理與管理金鑰(權重 2x)

  • 多簽配置:幾/幾門檻?簽名者是誰?
  • 時間鎖持續時間:有沒有?多長?能不能被繞過?
  • 升級機制:合約可升級嗎?誰有升級權限?
  • 代幣集中度:前十大持有者佔比多少?有鯨魚風險嗎?

預言機與價格饋送

  • 使用哪些預言機提供者?(Chainlink、Pyth、自建)
  • 有沒有備援機制?
  • 對價格操縱的抵抗力如何?

經濟機制

  • 清算設計是否健全?
  • 保險基金規模相對 TVL 是否充足?
  • 壞帳處理機制是什麼?

Step 5-7:補充分析

  • 智能合約安全:審計歷史、Bug bounty 規模、實戰時間
  • 跨鏈與橋接風險:多鏈管理金鑰、橋接依賴、跨鏈訊息安全
  • 營運安全:團隊歷史紀錄、事件回應能力、外部依賴

Step 8:鏈上驗證

這是最關鍵的差異化步驟。工具不只看文件怎麼說,還會實際上鏈驗證:

# Gnosis Safe 多簽驗證
curl -s "https://safe-transaction-mainnet.safe.global/api/v1/safes/{address}/"

# Etherscan 合約驗證
curl -s "https://api.etherscan.io/api?module=contract&action=getabi&address={address}"

# Solana 程式升級權限
solana program show {program_id}

# Squads 多簽檢測(Solana)
curl -s "https://api.solana.fm/v0/accounts/{address}"

如果一個協議聲稱使用 3/5 多簽,工具會直接查 Safe API 驗證。如果聲稱合約不可升級,會查鏈上確認。文件可以騙人,鏈上數據不會。

Step 9-10:報告生成

最終報告包含:

  • 量化指標(保險/TVL 比率、審計覆蓋率、治理去中心化分數)
  • 同類協議對照表
  • 8 種已知攻擊模式的交叉比對
  • 資訊缺口清單(什麼沒能驗證)
  • 風險評級(LOW / MEDIUM / HIGH / CRITICAL)

八種攻擊模式檢查清單

工具內建了 8 種從歷史重大攻擊事件中提煉的攻擊模式:

模式代表事件核心特徵
Drift 型Drift 2.85 億治理劫持 + 假抵押品 + 預簽名
Euler/Mango 型Mango 1.1 億預言機操縱 + 低流動性代幣
Ronin/Harmony 型Ronin 6.25 億驗證者/多簽金鑰妥協
Beanstalk 型Beanstalk 1.82 億閃電貸治理攻擊
Cream/bZx 型Cream 1.3 億重入攻擊 + 借貸協議
Curve 型Curve 7000 萬編譯器漏洞
UST/LUNA 型LUNA 400 億算法穩定幣脫鉤
Bybit 型Bybit 14 億國家級 APT + 社工

如果一個協議在任何單一模式中匹配 3 個以上特徵,就會觸發警告。

驗證結果:56 個協議

工具已經在 DeFiLlama 前 100 大 TVL 中的 56 個協議上完成驗證,結果分佈:

  • 7 個 LOW:Aave、Lido、Morpho、Sky/MakerDAO、Uniswap、SparkLend、Compound
  • 35 個 MEDIUM:EigenLayer、Ethena、Hyperliquid、Ondo 等
  • 11 個 HIGH:JustLend、SushiSwap、Radiant Capital 等
  • 3 個 CRITICAL:Drift Protocol(事前正確識別全部 3 個攻擊向量)、Notional Finance(已停運)、Lybra Finance(已廢棄)

最重要的驗證:工具在 Drift 被攻擊之前就已經能識別出所有三個攻擊向量。這不是事後諸葛亮——如果有人在 3 月份對 Drift 跑過這個審計,所有紅旗都會被標出來。

數據來源與技術架構

工具整合了多個免費 API,不需要付費訂閱:

數據源用途費用
DeFiLlamaTVL、審計數量、協議元數據免費
GoPlus Security蜜罐檢測、持有者權限、交易限制免費
Safe Transaction ServiceGnosis Safe 多簽驗證免費
Etherscan合約驗證、代理檢測免費(需 API key)
Solana RPC + SolanaFM程式權限、帳戶類型檢測免費
RugCheck / BirdeyeSolana 代幣備援(GoPlus 不支援 Solana)免費

整個工具是一個 SKILL.md 檔案加上兩個 shell 腳本:

  • SKILL.md:約 500 行的 Claude Code skill 定義,包含完整的審計流程、API 端點、評分公式和報告模板
  • scripts/goplus-check.sh:GoPlus API 的封裝腳本
  • scripts/onchain-check.sh:鏈上驗證的封裝腳本(Safe、Etherscan、Solana RPC)

安裝與使用

三種安裝方式:

# skills.sh(Vercel)
npx skills add truenorth-lj/crypto-project-security-skill

# ClawHub(OpenClaw)
clawhub install truenorth-lj/crypto-project-security-skill

# 手動安裝
# 複製 SKILL.md 到 .claude/skills/defi-security-audit/SKILL.md

安裝完成後,在 Claude Code 中使用自然語言觸發:

  • "audit defi Aave"
  • "analyze protocol Hyperliquid"
  • "check security of Drift"
  • "is Compound safe?"

工具會自動執行完整的十步審計流程,產出結構化的安全報告。

局限性與免責聲明

這個工具不是銀彈。它有明確的局限性:

  1. 不做程式碼審計:工具不會閱讀或分析智能合約原始碼,它專注在架構層級的安全評估
  2. 依賴公開資訊:如果協議沒有公開多簽地址或治理配置,工具只能標記為「UNVERIFIED」
  3. 快照而非監控:每次審計是某一時刻的快照,不是持續監控。協議可能在審計後改變配置
  4. 不構成投資建議:風險評級是技術評估,不是投資建議

從 Drift 到工具:動機

建造這個工具的動機很直接:Drift 事件暴露了一個系統性盲點——DeFi 安全社群過度聚焦程式碼,而忽略了治理。

如果在 Drift 遷移到零時間鎖的 2/5 多簽時,有一個工具能自動標記「CRITICAL:零時間鎖 + 低門檻多簽 = 治理劫持風險」,也許結果會不一樣。

這個工具不能防止所有攻擊,但它能確保在投入資金之前,你至少問了正確的問題。在 DeFi 的世界裡,問對問題有時候就是最好的防禦。

工具開源地址:truenorth-lj/crypto-project-security-skill 授權:MIT License