过去六年,去中心化金融变得更加安全,一项对 2020 年至 2025 年协议损失的新审查也为这一说法提供了相当大的数据支持。
2022 年,整个 DeFi 行业的损失达到峰值 26.2 亿美元,到 2024 年下降了约 80%,至 5.34 亿美元。曾经轰动一时的 Bridge 黑客攻击如今只占年度总损失的一小部分,而如今典型的攻击造成的损失大约只有高峰时期的四分之一。
虽然这对加密货币行业来说无疑是个好消息,但风险依然存在,只是表现形式有所不同。如今,主流协议通常会在以太坊、Base、 Arbitrum、 Polygon、 OP 主网和 Sonic 等多个网络上部署相同的代码,因此,一个漏洞就可能同时导致所有运行该代码的网络资金流失,而这很可能就是加密货币下一个系统性问题的表现形式。
去年 11 月,我们就看到了这种情况,当时 Balancer 的 V2 可组合稳定币池在不到半小时内,在六个区块链上同时被盗走了大约 1.28 亿美元。
根据 Check Point Research 的研究,攻击者利用了资金池不变数学中的算术精度缺陷,将代币余额推向舍入边界,然后通过一系列批量交换,直到这些微小的错误累积成全部余额耗尽。
存在相同漏洞的合约已部署在以太坊、 Arbitrum、Base、 Polygon、Sonic 和OP主网,因此该漏洞同时影响了所有这些项目,因为该缺陷嵌入在代码本身中,而该代码已被复制到各个地方。
正如CryptoSlate当时报道的那样,11 次独立的审计都未能发现它,这说明这类漏洞已经变得多么隐蔽,以及为什么它比以前的攻击更难预测。
随着连锁反应次数的增加,攻击规模越来越小。
令人鼓舞的是,数据表明,加密货币早期盛行的廉价且可重复的攻击手段已基本被消除,即使DeFi的总锁定价值(TVL)持续攀升,总损失在两年内也下降了80%。此外,单次事件的中位损失也大幅下降,从2022年的600万美元降至2025年的150万美元,降幅达75%。
2025 年,独立事件的数量实际上上升到了 83 起,这意味着黑客攻击事件越来越多,而每次攻击造成的损失却越来越小,这大致就是一个日趋成熟的安全领域应该有的样子。
2021年和2022年,桥接协议是加密货币领域最主要的漏洞。仅在2022年,就有9起桥接协议漏洞攻击事件造成了19亿美元的损失。这些攻击事件堪称加密货币领域最惨痛的事件之一,其中Ronin Bridge桥接协议的攻击就造成了6.24亿美元的损失。
CryptoSlate在链上追踪了资金流向,依次是 Tornado Cash、Binance Bridge(5.7 亿美元)、Wormhole(3.26 亿美元)、Nomad(1.9 亿美元)、Harmony(1 亿美元)和 Qubit(8000 万美元)。
当年,它占 DeFi 所有损失的 73%,到 2025 年,由于验证机制的改进、去中心化验证器集的建立以及向原生跨链消息传递的更广泛转变,该桥的份额已骤降至 3%。
闪电贷攻击也经历了同样的衰落过程。2020 年,闪电贷攻击是 DeFi 领域的标志性技术,占所有损失的 54%;而到 2025 年,这一比例将降至 1% 以下,因为相关协议采用了专门针对此类攻击的防御措施:时间加权平均价格、 Chainlink预言机集成、重入保护以及假定攻击者可以在单个原子交易中操纵价格的设计。
私钥泄露事件也出现了类似的下降,从 2022 年的 28.7% 的损失降至 2025 年的 8.1%。这些类别的损失减少都有着相同的根本原因,那就是业界认识到了一种可重复的模式,并建立了一套标准化的应对措施。正如CryptoSlate在 2025 年终回顾中所发现的那样,这些应对措施在很大程度上仍然有效。
剩下的部分更难防御。
排除通用攻击后,剩下的是更为棘手的一类攻击:预计到 2025 年,89.1% 的 DeFi 损失将源于协议逻辑漏洞,也就是特定应用程序设计中的代码级缺陷。桥接攻击涉及可识别的信任假设,而闪电贷攻击属于已知的攻击技术范畴,因此两者都可以使用可复用的模式进行防御。
然而,协议逻辑漏洞本质上是定制化的。它源于特定代码库的数学运算、访问控制或可组合性选择,因此很难系统性地防御,因为每个实例都是一个独立的难题,与前一个实例几乎没有共同之处。
多链部署正是将这些特定漏洞演变成全面危机的原因。ImmuneFi 的报告指出,2021 年最具代表性的多链事件——价值约 6.11 亿美元的 Poly Network 漏洞——与 2025 年的 Balancer 漏洞有着直接的关联。
Poly Network 的故障发生在系统间的连接点,也就是网桥造成的瓶颈处;而 Balancer 的故障则源于相同的逻辑,在共享代码、签名路径和验证假设的网络中同样会发生故障。一旦某个链成为主流协议的默认部署方案,无论其自身的基础设施多么完善,它都会承担其所承载的一切的风险。
这改变了衡量生态系统安全性的方式,该报告的方法是通过将多链攻击造成的全部损失归因于每条受影响的链来体现这一点,其逻辑是所有六个网络的参与者都受到了全部影响。
但这样做的代价是, Polygon、 OP 主网、Base 和 Sonic 的 2025 年黑客攻击数据受到 Balancer 级联攻击的严重影响。此外,该报告完全剔除了中心化交易所的故障,因此,当年最大的单笔盗窃案——被 FBI 认定为朝鲜所为的 15 亿美元Bybit黑客攻击——被归咎于监管失误,而非协议故障。
按损失与 TVL 的比率来看,主要生态系统中最安全的层级是以太坊(约 0.42%)、 Solana (约 0.42%)和BNB Chain(约 0.33%),这三个 DeFi 生态系统按锁定价值计算最大,这表明规模和安全性一直在共同提高,而不是相互牺牲。
虽然这些改变对一般协议来说益处良多,但对普通用户而言却并非如此。现在,如果应用程序携带了从其他地方导入的缺陷,就可能造成数据丢失;而多链应用程序的便利性恰恰使得这种错误从局部问题蔓延到公共领域。
加密货币之所以创建所有这些独立的区块链,部分原因是为了避免依赖任何单一系统,但讽刺的是,在所有这些区块链上运行相同的少数几个流行协议,反而重建了这些区块链原本想要摆脱的集中化现象。
下一次重大事件发生时可能看起来很小(例如,广泛部署的协议中存在一个逻辑漏洞),但只有当人们意识到同样的漏洞代码一直存在于六个网络中时,才会揭示其真正的规模。
