DeFi 到了最危险的时候:真正的漏洞不在代码里
2026年4月,DeFi行业遭遇了历史上被黑最严重的一个月,累计损失超6.25亿美元。关键在于,这些重大攻击(如Drift Protocol损失2.85亿美元、KelpDAO损失2.92亿美元、Wasabi Protocol损失450万美元)均非利用智能合约代码漏洞,而是针对其“运营底座”——包括管理员私钥、跨链桥验证者、多签配置和社会工程。
文章指出,行业长期笃信“安全即代码问题”,但如今威胁已迁移至智能合约之外的信任环节。这些事件暴露了DeFi(实为“OpenFi”)的真相:系统虽开放可审计,却在关键节点依赖少数受信方(如安全理事会、单一验证者、特权管理员)。这种中心化的运营杠杆如同“关闭开关”,既能用于紧急响应(如Arbitrum冻结被盗资产),也可能被攻击者劫持造成灾难。
KelpDAO事件尤其凸显了“非对称蔓延”风险:一家小协议的跨链桥配置错误,竟引发Aave等大型协议超过130亿美元的资金外流,暴露了可组合性下的系统性脆弱。
文章结论认为,行业心智模型已然破裂。前路在于诚实披露信任假设、将运营安全提升至与代码审计同等地位,并建立可被机构定价和承保的风险模型。未来能存活并吸引机构资金的协议,将是那些能清晰定义并管理自身中心化权衡的协议。
链捕手昨天 15:17
