DeFi还敢玩吗?这个味道太熟悉了…

比推Publié le 2025-11-05Dernière mise à jour le 2025-11-05

加密市场在冷空气中步入又一个不眠夜。比特币一周时间已跌去近 12%,以太坊跌回 3300 美元附近,风险资产集体承压。

截屏2025-11-05 上午1.41.57.png

在行情低迷的背景下,去中心化金融(DeFi)再度成为风暴中心:老牌协议 Balancer v2 遭遇史上最大黑客攻击,损失超 1.2 亿美元;紧接着,收益优化平台 Stream Finance 披露 9300 万美元亏损,其质押稳定币 xUSD 跌破 0.3 美元。

image.png

风暴并未止于此。Stream 引发的风险正顺着“可组合性”的链条,蔓延到更多协议。
在最新一轮连锁反应中,DeFi 风险管理公司 Gauntlet 已向 Compound 治理论坛提交紧急提案,建议对 以太坊主网 USDC、USDS、USDT 市场实行临时暂停,以防风险扩散。

截屏2025-11-05 上午1.12.05.png

黑客事件在行情走弱的背景下相继发生,让“无中介金融”面临严峻的现实考验:当价格下行与风险事件叠加,人们还敢“玩”DeFi吗?

从 Balancer 开始的黑客事件

周一,Balancer v2 被曝出核心漏洞。攻击者利用可组合稳定池 (Composable Stable Pools) 中的逻辑缺陷,跨以太坊、Arbitrum、Base 等多条链,在数小时内卷走 1.28 亿美元。

研究员指出,攻击者可能通过伪造“费用入账”并触发提现,将“假积分”变成“真资金”。更讽刺的是,这一系统模块曾接受过包括 OpenZeppelin 与 Trail of Bits 在内的十余次安全审计。老牌的声誉与多年的技术积累,仍未能挡住一次逻辑性攻击。

Flashbots 与 Lido 策略负责人 Hasu 表示:“每当这样一个老合约被攻破,DeFi 的整体采用都会因此倒退 6 到 12 个月。”

截屏2025-11-05 上午1.18.56.png

不到 24 小时后,Stream Finance 披露其“外部资金管理人”导致 9300 万美元资产亏损。平台暂停出入金,质押稳定币 xUSD 深度脱锚,从 1 美元跌至 0.27 美元。

链上数据显示,与 xUSD、xBTC、xETH 相关的抵押敞口总计约 2.85 亿美元,涉及 Euler、Silo、Morpho 等多家借贷协议。多市场 TVL 在一天内蒸发数亿美元。

你的资金不是你的:“可组合性”的反噬

可组合性(composability)”是 DeFi 的核心特征,也是最可怕的漏洞。

可组合性意味着不同协议可以像乐高积木一样自由拼接:一个收益池可以嵌入借贷,一个稳定币可以抵押到另一个策略,一个聚合器可以在链上调用十几个服务。
在牛市中,这种结构让收益层层叠加、效率倍增。

然而当行情逆转,同样的结构会放大风险。一旦上游协议爆雷或者亏空,抵押、借贷、再质押的环节会像多米诺骨牌般同时崩塌。

安全公司 Ginger Security 创始人 Johnny Time 对风险传导机制进行了详细解释。
他指出,在 DeFi 的“收益金库”体系中,用户的资金往往并不会停留在最初的存入平台,而是被层层转移和再利用。以 Arbitrum 上 Beefy Finance (宣传为“最安全 USDC 金库”的产品)为例,资金路径为:

“Beefy → Silo → Arbitrum (ABR 激励) → Valarmore → Stream Finance (xUSD 敞口)。”

image.png在这一链条中,前端平台 Beefy 向用户展示的是一个“安全 USDC 金库”,但资金随后被中间管理方 Valarmore 重新分配至 Stream 协议的 xUSD 策略中。

结果是,用户以为自己投资的是 USDC 稳定币,实际却完全暴露于 xUSD 风险。

Johnny Time 指出,问题在于每一层协议都在追求收益最大化,却缺乏信息披露和风险隔离机制。
这种“层层嵌套”的结构,让风险在链条中无形传递:上游协议的决策改变、底层资产的波动、或中间策略的误配,都会沿途放大。
最终,当最底层的资产(如 xUSD)出现问题时,整个结构如骨牌般倒塌。

去中心化的争论

因此,社区关于去中心化的讨论再次爆发。

Dragonfly 合伙人 Haseeb Qureshi 认为:“即便在去中心化系统中,只要足够多的参与方达成共识,也可以冻结账户或资金。”
但批评者迅速反驳:“如果足够多的人能同意做某事,那他们就能做任何事——这本身就不去中心化。”

截屏2025-11-05 上午1.28.46.png

这一争论揭示了 DeFi 的治理悖论:当系统需要人为共识介入止血,“去中心化”的边界便开始模糊。

OneSource 创始人 Vladislav Ginzburg 认为,风险本是 DeFi 生态的底色:“智能合约与金融工程的复杂性决定了,用户必须接受不确定性。”
安全研究员 Suhail Kakar 则直言:“‘审计过’几乎不意味着什么。代码难,DeFi 更难。”
Komodo CTO Kadan Stadelmann 补充称,频繁的安全事故将让机构资金回避复杂结构,回到“比特币 only”策略。

Nansen 研究员 Nicolai Søndergaard 指出,Balancer 攻击漏洞出在计费逻辑而非权限控制——这类设计性风险审计难以发现,治理机制也难以及时应对。

小结

DeFi 的问题从不是技术,而是治理。
牛市时协议堆叠、高收益诱人;如今熊市揭示真相——没有哪一层是完全安全的。

未来能活下来的项目,不再靠年化收益取胜,而要证明三点:
资金可验证、风险可隔离、治理可执行。

对普通玩家而言,经验也被改写:如果你连自己的钱最终流向哪里都搞不清楚,那还不如直接买BTC来得踏实。

说到底,在DeFi世界里:看得懂的风险才是机会,看不懂的收益都是陷阱。

作者:Seed.eth


Twitter:https://twitter.com/BitpushNewsCN

比推 TG 交流群:https://t.me/BitPushCommunity

比推 TG 订阅: https://t.me/bitpush

说明: 比推所有文章只代表作者观点,不构成投资建议

Lectures associées

3 attaques de crypto en 24 heures – Des applications factices au vol de 14,2 millions de dollars en SOL

Les escroqueries cryptographiques se multiplient. En seulement 24 heures, trois attaques majeures ont été rapportées. Tout d'abord, des fraudeurs ont créé de fausses extensions de navigateur et applications en usurpant l'identité de SecondFi pour voler des crypto-actifs. La plateforme a rappelé qu'elle ne demande jamais de téléchargements ou de transferts via messages directs. Ensuite, un portefeuille important sur Solana a été compromis, entraînant le vol de 180 900 SOL (environ 14,2 millions de dollars). L'attaquant a retiré les fonds mis en jeu, les a transférés vers de nouvelles adresses, puis a utilisé un pont vers Ethereum et le mélangeur Tornado Cash pour brouiller les pistes. Enfin, le package npm "jscrambler" a été victime d'une attaque de la chaîne d'approvisionnement logicielle. Après le vol d'identifiants de publication, des versions malveillantes (8.14.0 à 8.20.0) ont été diffusées, contenant un code conçu pour voler des informations sur les systèmes des utilisateurs. Les développeurs doivent immédiatement mettre à jour vers la version 8.22.0. En résumé, ces incidents illustrent la diversité des menaces : hameçonnage, compromission de portefeuilles et attaques logicielles. La prudence, la vérification des sources officielles et la mise à jour rapide des logiciels restent essentielles pour la sécurité.

ambcryptoIl y a 5 h

3 attaques de crypto en 24 heures – Des applications factices au vol de 14,2 millions de dollars en SOL

ambcryptoIl y a 5 h

« Nous essayons de défendre le Bitcoin » : Pourquoi le BIP-110 perd le soutien de la communauté

La proposition d'amélioration Bitcoin BIP-110, un soft fork controversé, est à nouveau débattue. Adam Back, PDG de Blockstream, estime que les discussions sont alimentées par des idées fausses sur l'architecture de Bitcoin. Il reconnaît que les partisans du BIP-110 sont souvent de nouveaux venus bien intentionnés, mais il craint qu'ils ne se désillusionnent en ne comprenant pas pourquoi Bitcoin a rejeté cette proposition. Implémenté en décembre 2025, le BIP-110 visait à limiter les données arbitraires (comme les inscriptions Ordinals) pour prévenir le spam et préserver la fonction première de Bitcoin en tant que système de paiement pair-à-pair. Back admet le problème du spam mais affirme que Bitcoin le gère déjà via des mécanismes de marché (frais, incitations des mineurs, consensus décentralisé) plutôt que par des règles restrictives. Il argue également que le BIP-110 va à l'encontre de la nature sans permission de Bitcoin. Selon lui, une bifurcation basée sur cette proposition aurait peu de chances de succès, par manque de soutien communautaire et parce qu'elle contredit les principes fondamentaux du réseau. Michael Saylor rejoint ces critiques. Le soutien au BIP-110 reste faible, avec seulement 10 blocs sur 2 016 ayant appuyé une mise à niveau temporaire début juillet. Parallèlement, l'activité Ordinals a chuté à des niveaux historiquement bas, avec moins de 10 000 inscriptions quotidiennes. Le prix du Bitcoin a, quant à lui, baissé de 45% sur un an.

ambcryptoIl y a 11 h

« Nous essayons de défendre le Bitcoin » : Pourquoi le BIP-110 perd le soutien de la communauté

ambcryptoIl y a 11 h

Trading

Spot
活动图片