撰文:Liam 'Akiba' Wright
编译:Saoirse,Foresight News
要点速览
- DeFiLlama 统计,第二季度有明确金额记录的黑客攻击事件共 88 起,截至 6 月 30 日总损失达 7.803 亿美元。
- 一系列被盗事件证明,安全损耗现已成为 DeFi 的资本成本之一,直接影响用户收益、资产路由选择与流动性布局决策。
- 跨链桥风险与合约逻辑漏洞仍是行业长期隐患,6 月多起安全事故也让市场持续质疑:资金究竟该流向何处才能保障安全。
当下 DeFi 各类漏洞被盗的讨论中,交易者逐渐注意到一笔并未标注在资金池年化收益率里的成本:即便跨链桥、私钥、前端界面、预言机与合约代码始终存在失效隐患,用户仍要为参与链上生态付出代价。
对于普通用户与流动性提供者而言,大家考量的维度早已不只是收益率高低。即便某条资金通路能带来额外收益,用户也必须权衡这条通路附带的技术风险、运营风险与治理风险是否值得。
DeFiLlama 黑客追踪数据库的二季度数据显示,共有 88 起可统计损失金额的攻击事件,截至 6 月 30 日累计亏损 7.803 亿美元。
4 月是损失最为惨重的月份,被盗金额高达 6.448 亿美元;5 月与 6 月数十起攻击事件又新增 1.354 亿美元亏损。整个二季度的安全危机并非一次性重大黑天鹅事件,更像是一场持续进行的行业压力测试,即便重磅新闻热度褪去,攻击损耗仍在不断产生。
截至 6 月 30 日,全网有金额记录的加密货币被盗事件总规模达 166.5 亿美元。其中标记为 DeFi 协议遭受攻击的损失为 78.5 亿美元,跨链桥被盗损失 32.6 亿美元。
仅二季度范围内,DeFi 协议相关攻击造成 7.358 亿美元亏损,跨链桥攻击带来 3.534 亿美元亏损。
解读这份数据需要留意细节:DeFiLlama 的标签存在重叠,部分事件既属于跨链桥攻击,同时也是协议漏洞攻击,还有部分事件未披露完整被盗金额。
即便存在上述统计偏差,核心结论十分清晰:盗币风险遍布整套 DeFi 基础设施,包括资产流转通道、权限管控、交互界面与验证系统,而这些设施正是去中心化金融能够正常使用的基础。
整个二季度:安全损耗正式纳入资产定价体系
二季度的损失与事故集中出现在两类风险领域:基础设施类漏洞单笔被盗金额巨大,合约逻辑漏洞则是事故发生数量最多。
2026 年二季度 DeFiLlama 统计数据(仅含标注损失金额事件)
- 二季度总攻击事件:88 起(有明确亏损数额)
- 二季度总损失:7.803 亿美元
- DeFi 协议攻击记录:61 起,合计损失 7.358 亿美元
- 跨链桥攻击记录:19 起,合计损失 3.534 亿美元
- 基础设施类风险事件:15 起(有金额记录),合计损失 6.514 亿美元
- 合约逻辑漏洞事件:73 起(有金额记录),合计损失 1.288 亿美元
- 月度损失分布:4 月 6.448 亿美元、5 月 6050 万美元、6 月 7490 万美元

两类风险对市场定价的影响截然不同。合约逻辑漏洞可以简单视作单一应用内部的代码质量问题。
但基础设施漏洞带来的冲击完全不同,这类风险覆盖跨链桥、签名验证系统、跨链消息传输、管理员权限、热钱包等公共设施,所有资金跨平台流转都必须依托这些设施。
一旦基础设施出现安全隐患,DeFi 传统的收益计算模型便不再具备参考性。某个资金池或许标注着高额年化收益,但用户不得不思考:获取这份收益的必经之路,是否依赖一座跨链桥、一套预言机、前端交互页面、签名节点或管理权限 —— 而这些环节的风险,普通人无法实时评估判断。
做市商想要维持多链流动性供给,就必须依靠交易价差,弥补资产跨链流转带来的运营风险成本。
这代表市场逻辑发生关键转变:行业从「事后复盘事故」转向「事前计入风险溢价」,所有参与者都在重新核算接入链上生态的真实成本。
用户需要承担的成本不再只有矿工费、滑点损耗或借贷利息;当资金处于流转状态时,权限、传输通道、验证层出现故障带来的亏损风险,同样是一笔隐性支出。
这种重新定价的过程十分隐蔽:平台公示的年化收益率不会下调,但用户会主动要求平台提供快速赎回通道、资产保险,或是对高跨链风险项目索要更高收益补偿,这会直接压低项目的实际净收益。
即便还没有标准化的安全评级体系落地,市场也会通过流动性萎缩、买卖价差扩大、平台抬高流动性激励成本等方式,直观反映风险预期。
资产路由的可信度,成为交易本身的一部分
跨链桥暴露的风险,最能直观体现这场行业压力测试带来的改变。二季度跨链桥相关攻击总亏损 3.534 亿美元,足以证明跨链资产路由早已不只是便捷与否的选择问题。
如果想要参与某个收益机会,资金必须经过跨链桥或跨链消息中间件,那么这条传输路径本身就属于交易风险的一环。
近期多起跨链安全事故已经改变了市场行为:KelpDAO 与 LayerZero 漏洞被盗事件爆发后,大量项目开始重构自身底层安全架构。
THORChain 遭遇攻击后紧急关停服务,也暴露出同一问题:一旦资产路由的可信度崩塌,系统会优先暂停业务,后续再排查问题。
对普通用户而言,流动性会持续向路径清晰、跨链风险更低、资金深度充足、规避脆弱传输通道的平台聚集。
对于收益聚合器与做市商来说,路由算法除了参考价格、资金深度、Gas 费用之外,还会逐步加入安全风险评估维度。
部分跨链桥与跨链平台即便能够正常运行,也会面临更高的资本使用成本。资金仍会通过这些渠道流转,但市场会要求更宽的交易价差、完善的资产保险、更可靠的验证机制,或是缩短资产暴露在风险中的周期。
在 DeFi 市场里,这就是尚未标准化入账的风险溢价。
这套逻辑同样会影响新项目上线策略。协议方在开辟新交易市场时,会认为上线速度不再是第一优先级,转而二次复核项目依赖的跨链桥、管理员权限与预言机通路。
流动性提供者可能会主动减少参与公链数量,因为每新增一条跨链通路,都会叠加一层全新安全隐患。单独看每一个人的选择微不足道,但汇聚起来,将决定市场流动性集中在哪些平台,哪些平台会因风险过高而使用成本激增。
资产保险也处在这套循环体系之中。如果承保机构与普通用户都将跨链风险视作常态化运营隐患,那么保险覆盖范围,就会成为判断平台能否大规模吸引流动性的核心指标。
无法清晰披露自身风险防控逻辑的协议,即便能够正常运营,也会付出代价:市场流动性持续走低,或是需要花费更高成本激励用户提供流动性。
安全投入,转变为平台吸引流动性的分销成本
市场层面的变化同样体现在协议内部。过去,安全相关支出通常被定义为防御投入:包括代码审计、漏洞赏金计划、链上实时监控、应急响应机制与紧急管控功能。
经历整个二季度的安全危机后,安全投入已经变成平台获取流动性的分销成本。如果用户能够清晰分辨平台间的安全差异,安全能力就会成为资金选择入驻平台的核心考量。
多家第三方安全机构的数据佐证了行业风险现状:TRM Labs 一份分析报告指出,2026 年加密货币被盗资金高度集中于少数几起大型攻击事件;CertiK 发布的 2026 稳定币风险报告,重点提及钱包、跨链桥、资产托管与支付基础设施存在大量隐患;Chainalysis 则重点研究私钥签名基础设施、社会工程学诈骗,以及被盗资金快速洗白流转的攻击手段。
各家机构统计口径不同,Chainalysis 引用的大额盗损数据基于 2025 年信息,但行业共识十分明确:DeFi 风险早已不局限于 Solidity 智能合约代码漏洞。
风险覆盖范围还包括账户签名权限、用户访问入口、跨链验证逻辑、被盗资产快速兑换渠道,以及协议能否在攻击者完成盗币操作前识别异常交易。
这迫使所有协议不得不增加刚性安全开支:提高漏洞赏金额度、搭建 7×24 小时实时监控、购买用户资产保险、设置提现限流机制、强化管理员多签管控、复核验证系统、加固前端页面,同时完善安全事故对外沟通机制。
每当发生大规模盗币事件,平台流动性成本都会上涨,对比之下,这笔安全开支更容易向代币持有者证明其必要性。
用户行为层面的转变,是更深远的影响。DeFi 用户早已接受智能合约风险是获取收益的附带代价,但持续不断的攻击,让所有人切实感受到风险带来的亏损。
单起黑客攻击,用户可以简单归因为平台本身存在缺陷;但连续一整个季度事故频发,会让整条资金流转链路都显得成本高昂。
各类自动收益策略工具、资产路由聚合器、前端交互页面简化了 DeFi 使用门槛,却也隐藏了资金真实流转路径,行业矛盾就此产生。
CryptoSlate 此前曾报道,自动化收益产品会集中放大普通散户的风险。经历长达一季度的行业压力测试后,用户开始要求平台完整公示:资金流转路径、涉及的跨链风险假设、配套保险方案,以及对接第三方服务故障后的处置机制。
外部监管层面同样带来压力。加密诈骗与盗币问题持续发酵,各国监管部门推动行业加强自主监管,美国财政部也曾发布相关风险警示。
DeFi 盗币危机恰好处于这样的市场大环境下:普通用户、平台运营方、政策制定者都在探寻一套解决方案,在大幅降低资产被盗损失的同时,保留去中心化金融原本具备的高效、开放特性。
这对 DeFi 而言是难以平衡的难题:风控限制过多,资金会流向其他渠道;风控措施不足,每一次安全事故都会推高整体风险溢价。
下一阶段能够占据优势的协议,必然是那些可以清晰披露潜在隐性风险、并落地完整风控方案的平台。
6 月 DeFiLlama 收录的攻击事件依旧暗藏大量风险,当月事故涵盖前端漏洞、可预测私钥泄露、伪造证明跨链桥、无担保代币铸造、反向最大可提取价值攻击、预言机操纵,以及各类合约账务与逻辑漏洞,没有单一标签能够概括全部隐患。
判断行业后续走向的关键观察指标:资金是否持续向公认安全的跨链渠道集中、项目是否为多重代码审计推迟上线、资产保险保费是否上涨、漏洞赏金预算是否增加、收益聚合器是否在路由界面直观展示各项安全风险假设。
如果以上变化加速落地,那么整个二季度将不再只是一段糟糕的行业周期,而是一次完整的资产风险重定价事件。
DeFi 黑客盗币问题本质依旧属于安全问题,但同时也演变成市场结构层面的核心难题:它是一套常态化的隐性税负,持续向所有链上资产流转、收益获取与信任体系征收成本。





