黑客和監控毀了DeFi

作者: chainCatcher

2026年4月,接二连三的安全災難使DeFi回到了民意的前沿. Kelp DAO和Drift Protocol共造成超過5.75億美元損失, DeFi鎖定(TVL)的總價值由約1.720億美元骤降至1,480億美元。

在過去的幾天里, 知名的安保審查公司開啟飛行共同創辦人Manuel Aráoz直言不讳地說, 他甚至表示, 他開始私下建議親友清除所有 DeFi 位置。

但這項判斷雖然令人著迷, OpenZeppelin是DeFi全球最重要的安全基建建商之一, 如果那些知道智能合同安全系統的人開始質疑DeFi的風險。

在過去的幾年中, DeFi 每一次遭受挫折, 當市場低迷時, 責任歸罪於大環境;當黑客攻擊發生時。

然而,如果時間越來越長,我們發現DeFi今天面临的困境就越來越明顯,不是單一攻擊、管理政策或失敗的項目造成的,而是由于它最初建立的两个核心邏輯正同时受到挑戰。

一套邏輯來自於科技世界, 另一套邏輯來自系統世界。

黑客和管制者把兩根柱子打得分開。

DeFi安全的核心悖論已保持10年。 Web3安全研究者已查明這個致命的不对称: 防守者必須堵上每個可能的缺口攻擊者只需要一個連結。

攻擊手段除了通常的跨鏈斷路、多個簽名劫持、預言等外, Kelp DAO和Drift Protocol的兩起事件揭示了更殘忍的潮流:最致命的漏洞。

4月18日,Kelp DAO受到一份重約的攻擊, 攻擊者利用地鐵Zero跨賽伯橋的DVN(分散認證網路), 伪造跨賽伯橋資訊。

災難的性质是設定錯誤,而不是密碼缺陷. Kelp DAO 選擇了「 1 – 1 」 , 當攻擊者攻擊了兩個提供驗證資料的 RPC 節點并發動了 DDoS 攻擊時, 整座橋的系統已失效

4月1日,索拉娜最大的生态持久合同之一Drift Protocol遭到攻擊,损失2.85亿美元,是2026年至今最大的一次DeFi攻擊事件,也是索拉娜史上第二大黑客案件。

這也不是一個智慧的合同漏洞。攻擊者通過社會工程抓获了簽署錢包的三個簽署人中的至少兩個, 當攻擊者被授權時。

造成攻擊的根本原因是 OpSec 完全無法運作:多個錢包配置不當。

這兩起事件揭示了DeFi安全危機的深刻演化:攻擊的突破是從傳統的智能合同碼破解到配置和人/OpSec層的系統性轉變。

Manuel Aráoz指出問題的核心是:「知識合同安全基本上是一种高度不对称的遊戲, 在AI開始提高指數層攻擊效率後。

AI編碼代理商可以壓縮過去要求頂級白帽團隊在幾分鐘內自動完成的問題, 甚至可以在開放的協議碼基础上自行產生攻擊文稿。 OpenZeppelin的創辦人, 是業內最主流的安全審查公司之一。

當安全危機在深化時。

5月26日,英國政府將加密的貨幣兑换機HTX加入俄羅斯制裁名單, 英國指控HTX在2025年處理3.3萬亿美元交易。

許多主流AML公司將HTX交易所地址列入危險地址清單, 數個交易所使用自己的AML系統。

HTX事件暴露了更深的困難:在复杂的地缘政治背景下, 由管理動機起動的制裁令可能會對連結造成越来越大的波及效应, HTX用戶完全無辜地持有資產, 但因為平台可能會有合规風險。

HTX事件只是管理壓力的冰山一角。實際上制约DeFi創意的。

美國證券委員會在過去的兩年中, 發起一系列調查, 更直接地從以收入為基礎的代價领域罷工, SEC對雙子收入等產品的执法行動顯示, 只要協議以存款支付使用者的被动利息。

開發商總得擔心自己的貨幣經濟模式是否踏上紅線。

DeFi最初强调「不需要許可」, 包括AML列表、交易所的風控引擎、证券法的長臂管辖权等。

根據DeFi過去幾年的沉沒, DeFi的安全困境與管理壓力並非獨立。缺乏明確的管制框架, 使工業難於就安全標準达成共识; 安全事件频频發生。

安全審查與遵守規定的邊界僵硬。

如今使用者比傳統金融承担更多的科技風險, 許多市場參與者因此感到困惑。他們發現 DeFi 既非銀行安全, 也非最初所承諾的完全開放。

當一個系統失去安全溢价和免費溢价時,它的長大理論自然會受到挑戰. 所以問題可能不是「黑客和管制是否毀了DeFi」。

更确切地說,黑客和管制只是讓業務面對現實。黑客讓人們意識到, 密碼不能建立對自然的信任; 規定讓人們意識到。

那不代表DeFi失敗了相反,這意味著實驗正在從理想主義走向現實主義。

DeFi並沒有摧毀黑客的手和管制網絡。它正被生存法則重新定義, 未來的 DeFi 要么走向更嚴格的工業安全自律與遵守框架。

Bài viết liên quan