【CertiK】RWA安全报告

【CertiK】近日发布了其2025年的《RWA安全报告》，这份报告深入探讨了现实世界资产（Real World Assets, RWA）代币化在金融市场中的重要演变，以及这一融合传统金融（TradFi）和去中心化金融（DeFi）过程中所带来的效率、透明度和可访问性的提升，同时指出了这种整合引入的复杂安全范式。报告中通过一个五层安全模型详细分析了从底层物理资产到链上智能合约的风险，并强调了RWA代币化带来的复杂、混合型安全风险。报告还特别提到了2025年上半年RWA特定漏洞导致的直接损失达到1460万美元，突显了威胁格局的演变。《RWA安全报告》提供了对RWA项目安全性的深刻见解，对于理解当前和未来金融市场中RWA的安全挑战具有重要价值。

在金融领域，将现实世界资产（RWA）代币化正成为一场革命，它不仅能提高效率、透明度和可访问性，还带来了复杂的安全挑战。CertiK的Skynet RWA框架提供了一套结构化的标准，用以审查与RWA协议相关的风险，这些风险涉及从底层实物资产到链上智能合约的五个层面。

RWA代币化引入了复杂的混合安全风险。RWA代币的价值基于链下资产，攻击面不仅包括智能合约代码，还包括预言机操纵、托管和交易对手失败、法律框架的不可执行性以及欺诈性储备证明。2025年上半年，RWA特定漏洞导致的直接损失达到了1460万美元，这一数字高于2024年和2023年的年度损失，显示出威胁格局的演变比直接金钱损失更为重要。

传统金融支持的协议提供了更强的安全性。在Skynet RWA框架中评分最高的协议，例如BlackRock和Franklin Templeton提供的协议，通过整合机构级的合规性、托管和透明度，展现出强大的安全姿态。这一趋势突出了在链上价值安全中，强大的链下法律和信任框架的重要性。

RWA的增长将风险集中在少数几个主要的区块链和协议上。大部分RWA价值集中在特定的区块链生态系统和少数领先产品上。这种集中意味着RWA市场的总体健康状况高度依赖于这些关键参与者及其底层链的安全性和运营完整性。

CertiK的RWA客户亮点表明，表现最好的平台已经与CertiK合作进行了严格的安全审计和审查。这些领导者包括Ondo Finance、Paxos和Tether，他们都在RWA排行榜上排名前五，因为他们对安全和诚信的承诺。

新的RWA安全范式由信任最小化的DeFi协议和基于信任的传统金融系统之间的接口定义。关键风险出现在这种互动中，因为链下流程涉及人类行为者，受法律解释的影响，并遵循运营工作流程。例如，如果链下托管人破产、法律协议未得到维护，或者数据预言机传输不准确的信息，即使经过审计的智能合约所保护的价值也可能受到影响。这需要进行全面的安全评估，评估资产、法律和运营层面以及链上代码。

为了概念化这种扩大的威胁格局，将RWA安全理解为一个五层堆栈是有用的。任何单层的失败都可能破坏整个结构的完整性，导致代币持有者遭受财务损失。

从2023年到2025年上半年的RWA安全事件分析显示，RWA协议面临的威胁明显演变。2023年的格局特点是技术和信用事件的混合，损失总计约1790万美元。2024年的损失超过600万美元。相比之下，2025年上半年完全由链上和运营失败定义，损失接近1460万美元。这些事件包括Loopscale的580万美元预言机操纵攻击和Zoth协议的885万美元损失。

数据突出了2023年到2025年之间RWA威胁格局的明显转变。2023年，该行业面临一系列威胁，主要损失来自链下信贷违约（700万美元）和链上技术漏洞（850万美元）。2024年，主要威胁仍然是链下的，590万美元的贷款违约占当年损失的大部分。然而，2025年上半年显示出完全的转变：损失跃升至近1460万美元，并且完全由链上和运营失败引起，如预言机操纵和私钥泄露。这表明威胁已经从利用外部金融安排演变为攻击RWA生态系统的核心技术本身。

RWA安全事件的财务影响高度集中在几个关键的区块链上，以太坊承受了大部分损失。以太坊由于其在该行业中的大部分市场份额，遭受了大部分财务损失，总损失为2175万美元，占自2023年以来损失总额的56.6%。以太坊上的事件包括链下信贷违约和链上运营失败，如私钥泄露。

雪崩链是第二大受影响的链，损失为1088万美元，占总损失的28.3%，这些损失源于单一协议上的多次技术漏洞。索拉纳占剩余的580万美元（15.1%），这一数字完全归因于一次重大的预言机操纵攻击。

Zoth协议2025年3月的事件是现代RWA风险的关键案例研究。该协议遭受了两次不同的攻击：首先，由于智能合约逻辑缺陷，攻击者能够在没有足够抵押品的情况下铸造资产，损失了38.5万美元。第二次更具破坏性的事件不是由合同漏洞引起的，而是由经典的运营安全失败引起的：私钥泄露。

攻击者获得了协议代理合约部署者地址的私钥的控制权。这种管理访问权限使他们能够执行恶意升级，创建后门以耗尽资金。这一黑客事件是一个鲜明的提醒，即RWA协议的链下基础设施和密钥管理与链上代码同样关键。一个受损的密钥可以抵消即使是最严格的智能合约的安全性，突出了使用多签名（multisig）或多方计算（MPC）钱包等机构级安全实践的必要性。

为了解决RWA安全市场中的这一空白，CertiK开发了Skynet RWA安全框架。该框架是一个全面的评估系统，专门设计用来评估RWA协议中固有的复杂混合风险。Skynet得分框架采用了动态的加权评估系统，涵盖六个不同的类别。这种方法提供了一个细致的、全面的视角，用以评估协议的安全姿态，使投资者、监管机构和合作伙伴能够做出明智的风险调整决策。

Oracle和数据源的安全性是RWA协议中的关键单点故障。它充当链下世界和链上世界之间的桥梁，链下世界决定了资产的价值，链上世界执行金融交易。一个被破坏或操纵的预言机可以通过向智能合约提供虚假信息，导致重大财务损失。对于像房地产或私人信贷这样的非流动性RWA来说，这种风险尤其严重，因为它们的价值不容易在高交易量公共交易所获得，使它们更容易受到操纵。

资产和托管完整性是RWA代币价值的直接联系，取决于底层实物资产的质量和持有该资产的实体的安全性。无论是资产的来源还是托管人的完整性失败，都可能导致代币变得毫无价值，无论链上技术的复杂性如何。

合规性和法律结构在RWA生态系统中与智能合约代码一样重要。法律协议定义并执行代币持有者对底层资产的索赔。一个模糊、构建不良或不合规的法律框架可以使链上所有权权利在现实世界的法庭上无法执行，代表了一个关键的故障点。

储备证明（PoR）是确保在链上发行的代币价值直接对应于链下持有的资产价值的可审计链接。这是维护用户信任和防止发行无支持或低抵押代币的主要机制。在这个过程中的任何欺诈或疏忽都可能导致代币价值的迅速且完全崩溃。

尽管RWA风险主要是链下的，但链上代码的安全性仍然是一个基本要求。智能合约中的漏洞可能导致资金直接被盗、治理操纵或协议操作冻结，无论链下组件构建得多么好。

信任一个RWA协议不仅建立在技术和法律保障上，还建立在发行人对透明度和清晰治理的承诺上。投资者和用户需要获得全面文件的访问权限，并清楚地了解如何做出链上和链下决策。

市场分析显示，RWA部门在过去一年中出现了爆炸性增长和创新，链上金融产品得到了传统资产的支持，获得了显著的吸引力。以下是三个关键趋势及其对RWA在DeFi及其它领域未来的意义分析。

美国国债支持的RWA产品在市场上占据主导地位。随着过去两年美国国债收益率的上升，投资者纷纷涌入提供类似低风险回报的链上工具。到2025年年中，代币化国债资产的总市值增长了约400%，达到超过70亿美元。

将RWA收益机制与稳定币融合是另一个主要发展。2024年，创新者引入了类似稳定币的代币，这些代币直接将国库收益传递给用户，模糊了稳定币和投资产品之间的界限。两个值得注意的例子是Usual的USD0和Binance的RWUSD。

传统金融机构在RWA领域的日益参与改变了游戏规则。在过去的一年中，像BlackRock、Franklin Templeton、JPMorgan等公司在代币化资产方面做出了重大尝试，带来了高标准的合规性和投资者保护。这些机构的参与提高了RWA项目如何处理监管、透明度和信任的标准。

RWA价值在不同区块链中的分布高度集中，以太坊仍然是无可争议的领导者，占据了总RWA市场价值的55.6%。Zksync Era以19.0%的份额紧随其后。这两个链几乎占据了所有代币化现实世界资产的四分之三，突显了以太坊生态系统在该领域的关键作用。

展望未来，RWA部门有望继续快速扩张，成为数字资产生态系统的一个关键支柱。到2030年，市场可能达到3万亿至10万亿美元之间。这一预计增长使得安全性变得比以往任何时候都更加关键，需要像Skynet的RWA排行榜上提供的评级这样的透明度。

这篇文章的灵感来自于CertiK的RWA安全报告。除了这份报告，还有一些同类型的报告也非常有价值，推荐阅读，这些报告我们都收录在同名星球，可以自行获取。

以上为节选样张，关注公众号【蝉鸣报告】回复领取PDF完整电子版（无广告）。

【蝉鸣报告】每日更新最新硬核报告，覆盖产业报告、全球化、经济报告、趋势等全领域。