加密市场在冷空气中步入又一个不眠夜。比特币一周时间已跌去近 12%,以太坊跌回 3300 美元附近,风险资产集体承压。
在行情低迷的背景下,去中心化金融(DeFi)再度成为风暴中心:老牌协议 Balancer v2 遭遇史上最大黑客攻击,损失超 1.2 亿美元;紧接着,收益优化平台 Stream Finance 披露 9300 万美元亏损,其质押稳定币 xUSD 跌破 0.3 美元。
风暴并未止于此。Stream 引发的风险正顺着“可组合性”的链条,蔓延到更多协议。
在最新一轮连锁反应中,DeFi 风险管理公司 Gauntlet 已向 Compound 治理论坛提交紧急提案,建议对 以太坊主网 USDC、USDS、USDT 市场实行临时暂停,以防风险扩散。
黑客事件在行情走弱的背景下相继发生,让“无中介金融”面临严峻的现实考验:当价格下行与风险事件叠加,人们还敢“玩”DeFi吗?
从 Balancer 开始的黑客事件
周一,Balancer v2 被曝出核心漏洞。攻击者利用可组合稳定池 (Composable Stable Pools) 中的逻辑缺陷,跨以太坊、Arbitrum、Base 等多条链,在数小时内卷走 1.28 亿美元。
研究员指出,攻击者可能通过伪造“费用入账”并触发提现,将“假积分”变成“真资金”。更讽刺的是,这一系统模块曾接受过包括 OpenZeppelin 与 Trail of Bits 在内的十余次安全审计。老牌的声誉与多年的技术积累,仍未能挡住一次逻辑性攻击。
Flashbots 与 Lido 策略负责人 Hasu 表示:“每当这样一个老合约被攻破,DeFi 的整体采用都会因此倒退 6 到 12 个月。”
不到 24 小时后,Stream Finance 披露其“外部资金管理人”导致 9300 万美元资产亏损。平台暂停出入金,质押稳定币 xUSD 深度脱锚,从 1 美元跌至 0.27 美元。
链上数据显示,与 xUSD、xBTC、xETH 相关的抵押敞口总计约 2.85 亿美元,涉及 Euler、Silo、Morpho 等多家借贷协议。多市场 TVL 在一天内蒸发数亿美元。
你的资金不是你的:“可组合性”的反噬
“可组合性(composability)”是 DeFi 的核心特征,也是最可怕的漏洞。
可组合性意味着不同协议可以像乐高积木一样自由拼接:一个收益池可以嵌入借贷,一个稳定币可以抵押到另一个策略,一个聚合器可以在链上调用十几个服务。
在牛市中,这种结构让收益层层叠加、效率倍增。
然而当行情逆转,同样的结构会放大风险。一旦上游协议爆雷或者亏空,抵押、借贷、再质押的环节会像多米诺骨牌般同时崩塌。
安全公司 Ginger Security 创始人 Johnny Time 对风险传导机制进行了详细解释。
他指出,在 DeFi 的“收益金库”体系中,用户的资金往往并不会停留在最初的存入平台,而是被层层转移和再利用。以 Arbitrum 上 Beefy Finance (宣传为“最安全 USDC 金库”的产品)为例,资金路径为:
“Beefy → Silo → Arbitrum (ABR 激励) → Valarmore → Stream Finance (xUSD 敞口)。”
在这一链条中,前端平台 Beefy 向用户展示的是一个“安全 USDC 金库”,但资金随后被中间管理方 Valarmore 重新分配至 Stream 协议的 xUSD 策略中。
结果是,用户以为自己投资的是 USDC 稳定币,实际却完全暴露于 xUSD 风险。
Johnny Time 指出,问题在于每一层协议都在追求收益最大化,却缺乏信息披露和风险隔离机制。
这种“层层嵌套”的结构,让风险在链条中无形传递:上游协议的决策改变、底层资产的波动、或中间策略的误配,都会沿途放大。
最终,当最底层的资产(如 xUSD)出现问题时,整个结构如骨牌般倒塌。
去中心化的争论
因此,社区关于去中心化的讨论再次爆发。
Dragonfly 合伙人 Haseeb Qureshi 认为:“即便在去中心化系统中,只要足够多的参与方达成共识,也可以冻结账户或资金。”
但批评者迅速反驳:“如果足够多的人能同意做某事,那他们就能做任何事——这本身就不去中心化。”
这一争论揭示了 DeFi 的治理悖论:当系统需要人为共识介入止血,“去中心化”的边界便开始模糊。
OneSource 创始人 Vladislav Ginzburg 认为,风险本是 DeFi 生态的底色:“智能合约与金融工程的复杂性决定了,用户必须接受不确定性。”
安全研究员 Suhail Kakar 则直言:“‘审计过’几乎不意味着什么。代码难,DeFi 更难。”
Komodo CTO Kadan Stadelmann 补充称,频繁的安全事故将让机构资金回避复杂结构,回到“比特币 only”策略。
Nansen 研究员 Nicolai Søndergaard 指出,Balancer 攻击漏洞出在计费逻辑而非权限控制——这类设计性风险审计难以发现,治理机制也难以及时应对。
小结
DeFi 的问题从不是技术,而是治理。
牛市时协议堆叠、高收益诱人;如今熊市揭示真相——没有哪一层是完全安全的。
未来能活下来的项目,不再靠年化收益取胜,而要证明三点:
资金可验证、风险可隔离、治理可执行。
对普通玩家而言,经验也被改写:如果你连自己的钱最终流向哪里都搞不清楚,那还不如直接买BTC来得踏实。
说到底,在DeFi世界里:看得懂的风险才是机会,看不懂的收益都是陷阱。
作者:Seed.eth
Twitter:https://twitter.com/BitpushNewsCN
比推 TG 交流群:https://t.me/BitPushCommunity
比推 TG 订阅: https://t.me/bitpush
