هل لا يستطيع برنامج مكافأة الثغرات الإلكترونية إيقاف القراصنة؟ سامكزون يقول إن أمان البروتوكول لا زال يفتقد خطوة مهمة

【比推】Security Alliance的创始人Samczsun最近抛出了一个争议性观点：光靠代码审计、形式化验证和砸重金搞漏洞赏金，根本挡不住黑客。他认为协议安全真正缺的是第四步——定期年度复审。

先说漏洞赏金这事儿。很多人以为把奖金加到天价就能吸引白帽黑客抢先找漏洞，但Samczsun直接点破了：这不过是在赌白帽跑得比黑帽快而已。同样的预算，与其堆在单次赏金上，还不如分几年做多轮审计来得实在。

更要命的是风险和预算的错配。协议的TVL涨了，风险确实跟着线性增长，但安全预算呢？往往原地踏步。真正的隐患在于——审计报告本质上只是某个时间点的快照，它会过期的。协议在不断迭代、环境在持续变化，一份半年前的审计结论能说明什么？唯一刷新评估的办法，就是重新审计。

Samczsun给2026年的加密行业开出了药方：把年度复审当成标配动作。那些TVL已经起飞的协议，该拉出来重新过一遍了；审计公司也得调整服务模式，专门针对完整部署做评估。行业得改变一个认知误区——审计报告不是永久护身符，它只是会过期的阶段性体检单。