重点摘要
- OpenZeppelin 联创 Manuel Araoz 公开建议亲友退出 Aave、MakerDAO 等所有 DeFi 部位
- 4 月 DeFi 被盗近 6.3 亿美元,Drift(2.85 亿)和 Kelp DAO(2.93 亿)均与北韩骇客有关
- DeFi TVL 自 4 月中旬下降约 14%,5 月再发生 25 起安全事件,40+ 协议已宣布关闭
写过加密世界最多人使用的智慧合约安全框架的人,现在劝你把钱全部撤出 DeFi。
OpenZeppelin 联合创办人 Manuel Araoz 近日在社群媒体发文,表示他已改变对 DeFi 安全的看法,目前的结论是「所有 DeFi 都不安全」。他透露自己已经开始亲自建议亲友退出所有 DeFi 部位,即便是 Aave、MakerDAO 和 Compound 这类长期运作的「蓝筹」协议也不例外。
AI 让攻防彻底不对等
Araoz 点出的核心问题在于攻击者与防御者之间结构性的不对等。他表示,AI 程式码代理(coding agents)在发现智慧合约漏洞方面「能力超群」,而这种能力天然偏向攻击方。防御者必须堵住每一个漏洞,攻击者只需要找到一个就能把钱搬走。
这段话从安全公司创办人嘴里说出来格外有重量。OpenZeppelin 的智慧合约库被全球绝大多数 Solidity 开发者使用,Araoz 对 DeFi 安全的理解不是纸上谈兵。他的判断等于在说:目前的技术架构下,DeFi 的安全模型从根本上就是攻方占优。
4 月至今损失持续扩大
资料站在 Araoz 这边。4 月单月 DeFi 协议被盗近 6.3 亿美元,是自 2025 年 2 月 Bybit 被盗约 15 亿美元以来损失最惨重的月份。其中 Drift(2.85 亿美元)和 Kelp DAO(2.93 亿美元)两起重大漏洞利用事件,均被追踪机构归因到北韩政府支援的骇客组织 Lazarus Group。
市场信心已经明显受挫,DeFi 协议总锁仓价值(TVL)自 4 月中旬以来下降约 14%,从约 1,720 亿美元降至 1,480 亿美元。5 月也没有安宁,迄今已发生 25 起安全事件,包括 Verus Network 跨链桥被利用损失 1,160 万美元,以及 Polymarket 的 UMA CTF Adapter 遭攻击损失约 57 万美元。
40 多个协议在今年前五个月陆续宣布关闭或进入清算模式。统计上,北韩关联的攻击者占了 2026 年全球加密货币骇客损失的 76%,比起 2025 年的 64% 进一步攀升。对 DeFi 失去信心的危机,还在蔓延。
常见问题
OpenZeppelin 联创为什么说所有 DeFi 都不安全?
Manuel Araoz 认为 AI 程式码代理让攻击者在发现漏洞上占尽优势,防御者必须堵住所有漏洞,但攻击者只需找到一个就能盗走资金,这种结构性不对等让包括 Aave、MakerDAO 在内的所有 DeFi 协议都有风险。
2026 年 DeFi 被盗了多少钱?
截至 5 月底已超过 7.7 亿美元,仅 4 月就被盗近 6.3 亿美元。最大两起事件为 Drift(2.85 亿美元)和 Kelp DAO(2.93 亿美元),均与北韩骇客组织 Lazarus Group 有关。
相关报导
Kelp DAO 宣告 rsETH 全面恢复:5 周前遭北韩骇客窃取 2.93 亿镁
