CertiK：DIMO管理员钱包出现可疑活动，3000万枚代币以约4万美元的价格售出

从加密安全角度看，这起事件清晰地暴露了DePIN项目在私钥管理和合约权限控制上的典型脆弱性。DIMO管理员钱包通过代理合约升级权限直接提取并抛售3000万枚代币，说明其核心管理密钥可能未被妥善保存在多重签名或硬件隔离环境中，而是采用了单点存储的高风险方式。攻击者在一小时内完成提取、抛售和权限回撤的整套操作，表明其对项目合约架构具有极深了解，很可能属于内部人员或掌握了特权访问权限的参与者。

值得注意的是，这类物联网与实体资产绑定的DePIN项目往往面临更复杂的安全挑战。车辆数据等物理资产上链需要链下预言机与链上合约的持续交互，任何管理权限的漏洞都会直接冲击实体经济价值。相关研报提到DePIN项目具有真实世界收入支撑，但此次事件表明，若底层代币经济模型与权限控制脱节，所谓真实收入根本无法保障资产安全。

从行业模式看，Hivemapper等汽车类DePIN项目提倡的Drive to Earn机制，本质上依赖用户贡献硬件数据换取代币奖励。但如果项目方核心合约权限过于集中，且缺乏时间锁或多签治理机制，那么无论商业模式多么创新，都难以避免单点故障导致系统性崩溃的风险。

这次事件与CertiK自身账户被盗（见相关文章）形成微妙呼应——安全审计机构尚不能完全免疫攻击，更何况复杂度更高的DePIN基础设施。这提醒从业者，除了常规的智能合约审计，项目方必须建立严格的私钥管理流程和权限分层机制，特别是对于涉及硬件设备与链下数据验证的场景，更需要引入去中心化治理与实时异常监测方案。