DeFi的安全體系已然失效？

作者：David Christopher 來源：bankless 翻譯：善歐巴，金色財經

在人工智慧工具的威脅之下，如今所有去中心化金融項目都不再安全嗎？還是說這種看法過於悲觀？

「特此提醒：我目前認為所有 DeFi 項目均存在安全隱患。

智能體在挖掘漏洞方面擁有超人般的能力，而智能合約安全領域本就存在嚴重的不對等：防禦方必須修復每一處漏洞，攻擊者卻只需找到一個突破口，就能捲走用戶資產。

我已私下建議親友撤出所有 DeFi 持倉，即便是 Aave、MakerDAO、Compound 這類低風險頭部項目也不例外。」

OpenZeppelin聯合創始人、前首席技術官曼努埃爾・阿勞索昨日在社交平台發表了上述觀點，一時間在行業內引發軒然大波。

OpenZeppelin 是業內使用最廣泛的 Solidity 代碼庫開發方，同時擁有規模頂尖的智能合約審計團隊。該公司隨後澄清，阿勞索早在 2019 年便已離職，其個人觀點不代表公司立場。但我完全理解他這番表態背後的考量。

剛剛過去的上個月，鏈上攻擊事件數量創下加密行業歷史新高，幾乎每天都有攻擊發生，被盜資產總金額超 6.25 億美元。Drift與KelpDAO是本次攻擊潮中的主要受害方，而各類中小型攻擊更是遍布整個賽道：借貸池、資產金庫、預言機、跨鏈橋、管理員權限模塊無一倖免。攻擊面還在持續擴大，藉助人工智慧，攻擊者的目標不再侷限於智能合約本身的代碼漏洞。

攻防失衡：難以扭轉的天然劣勢

DeFi 攻防之間存在一道根本性的鴻溝：防禦方必須堵上全部漏洞，攻擊者卻只需得手一次。

諸如 Mythos 這類 AI 模型，能夠找出潛伏數十年、歷經數百萬次自動化檢測卻始終未被發現的高危漏洞。試想，誕生僅 12 年的 Solidity 編程語言，在面對這類工具時會是何種處境。依託該語言搭建的 DeFi 生態，積累安全攻防經驗的時間尚不足前者的一半，而各類檢測工具正變得愈發強大，使用成本也持續走低。要知道，研究人員僅花費 50 美元，就藉助 Mythos 挖出了一個存在 25 年之久的老舊漏洞。

技術演進趨勢

阿爾彭・尤克塞洛格魯做客《Bankless》欄目，解讀了由 Paradigm 與 OpenAI 聯合推出、用於檢測智能合約漏洞的評測基準 EVMBench。他分享道，在短短六個月內，AI 模型對盜幣類高危漏洞的識別率，從最初的 12% 至 13%，飆升至 70% 以上（基於 Codex 5.3 模型）。

距離那次交流已過去近三個月，如今行業主流模型已迭代至 5.5 版本。該模型能力大幅躍升，甚至導致大量用戶放棄使用Claude。毋庸置疑，這類技術已在一定程度上被用於惡意攻擊。儘管 5.5 版本的能力仍不及 Mythos，但Anthropic已明確計劃向公眾開放 Mythos。這也會倒逼 OpenAI 推出專屬網路安全模型 5.5-Cyber 予以應對。

風險收益邏輯徹底失衡

如今仍有不少用戶將資產金庫、Aave 這類所謂 「低風險 DeFi 產品」 等同於銀行儲蓄帳戶，這種觀念雖較以往有所減少，但並未徹底消失。目前 Morpho 金庫內鎖倉資產規模達 118 億美元，年化殖利率僅 2% 至 4%，其中大部分資金都通過 Coinbase、Kraken 等平台流入。

我們不妨核算其中的風險與收益：在這類產品中，用戶押上全部本金，換來的卻只是個位數的年化回報。這也不難理解，為何市場資金紛紛轉向永續合約與模因幣。後者固然投機屬性極強，但風險收益比遠優於傳統 DeFi。拋開 AI 威脅不談，專業駭客組織也在持續發動精密攻擊。針對 Drift 的攻擊籌備時長就達到了六個月，與之相比，年化 3% 的資產金庫，其風險收益結構顯得極不合理。

技術是雙刃劍：攻防兩端同步升級

選擇繼續留在 DeFi 市場的理由在於：AI 工具在降低攻擊成本的同時，也同等程度地拉低了安全防禦的門檻。

智能分配智能體 Zyfai 就是典型案例。該平台的智能體曾提前監測到 Aave 與 KelpDAO 的異常風險，及時將資產調倉至更安全的資金池；當市場整體風險超出預設閾值時，便暫停資產配置。儘管這是企業單方宣傳，需理性看待，但其技術架構具備參考價值。這類智能體 7×24 小時實時監控鏈上數據，嚴格執行預設風險管控規則，一旦風險超標便拒絕新增資產。依託智能帳戶、會話密鑰與消費限額等機制，它構築起一道人類在反應速度與持續監控能力上都無法企及的防禦屏障。

合理運用智能體技術，能夠縮小 DeFi 攻擊面，幫助用戶在風險釀成損失前及時應對。

這一邏輯同樣適用於鏈上保險領域。多年來，鏈上保險始終處於行業邊緣。頭部項目 Nexus Mutual 自營運至今，累計理賠金額僅 1860 萬美元，而 2025 年全年，加密行業因駭客攻擊損失的資產就高達 34 億美元。傳統鏈上保險產品品類單一、保費高昂、操作流程繁瑣。

如今新型解決方案正在改善這一現狀：OpenCover 推出的保本金庫，直接從理財收益中抵扣保費，無需用戶額外繳費；Vaults.fyi 也完成生態合作，在展示風險數據的同時同步推送保險相關資訊。這類創新產品前景廣闊，預計未來鏈上保險協議與投保規模將迎來快速增長。

客觀來說，阿勞索指出的行業問題一針見血，觀點雖不算新穎，但直接建議用戶徹底撤出所有 DeFi 資產，顯然有危言聳聽之嫌。不巧的是，本文撰寫當日又曝出新的攻擊事件，也側面印證了風險的持續存在。

在我看來，行業當下更需要的是AI 防禦工具與體系更完善的鏈上保險，而非全盤否定 DeFi 生態。就我個人而言，目前已暫時撤出 DeFi 市場，且短期內不會回歸。

來源：金色財經

發佈者對本文章的內容承擔全部責任
在投資加密貨幣前，請務必深入研究，理解相關風險，並謹慎評估自己的風險承受能力。不要因為短期高回報的誘惑而忽視潛在的重大損失。