過去六年,去中心化金融變得更加安全,一項對 2020 年至 2025 年協議損失的新審查也為這一說法提供了相當大的數據支持。
2022 年,整個 DeFi 行業的損失達到峰值 26.2 億美元,到 2024 年下降了約 80%,至 5.34 億美元。曾經轟動一時的 Bridge 黑客攻擊如今只佔年度總損失的一小部分,而如今典型的攻擊造成的損失大約只有高峰時期的四分之一。
雖然這對加密貨幣行業來說無疑是個好消息,但風險依然存在,只是表現形式有所不同。如今,主流協議通常會在以太坊、Base、 Arbitrum、 Polygon、 OP 主網和 Sonic 等多個網絡上部署相同的代碼,因此,一個漏洞就可能同時導致所有運行該代碼的網絡資金流失,而這很可能就是加密貨幣下一個系統性問題的表現形式。
去年 11 月,我們就看到了這種情況,當時 Balancer 的 V2 可組合穩定幣池在不到半小時內,在六個區塊鏈上同時被盜走了大約 1.28 億美元。
根據 Check Point Research 的研究,攻擊者利用了資金池不變數學中的算術精度缺陷,將代幣餘額推向舍入邊界,然後通過一系列批量交換,直到這些微小的錯誤累積成全部餘額耗盡。
存在相同漏洞的合約已部署在以太坊、 Arbitrum、Base、 Polygon、Sonic 和OP主網,因此該漏洞同時影響了所有這些項目,因為該缺陷嵌入在代碼本身中,而該代碼已被複制到各個地方。
正如CryptoSlate當時報道的那樣,11 次獨立的審計都未能發現它,這說明這類漏洞已經變得多麼隱蔽,以及為什麼它比以前的攻擊更難預測。
隨著連鎖反應次數的增加,攻擊規模越來越小。
令人鼓舞的是,數據表明,加密貨幣早期盛行的廉價且可重複的攻擊手段已基本被消除,即使DeFi的總鎖定價值(TVL)持續攀升,總損失在兩年內也下降了80%。此外,單次事件的中位損失也大幅下降,從2022年的600萬美元降至2025年的150萬美元,降幅達75%。
2025 年,獨立事件的數量實際上上升到了 83 起,這意味著黑客攻擊事件越來越多,而每次攻擊造成的損失卻越來越小,這大致就是一個日趨成熟的安全領域應該有的樣子。
2021年和2022年,橋接協議是加密貨幣領域最主要的漏洞。僅在2022年,就有9起橋接協議漏洞攻擊事件造成了19億美元的損失。這些攻擊事件堪稱加密貨幣領域最慘痛的事件之一,其中Ronin Bridge橋接協議的攻擊就造成了6.24億美元的損失。
CryptoSlate在鏈上追蹤了資金流向,依次是 Tornado Cash、Binance Bridge(5.7 億美元)、Wormhole(3.26 億美元)、Nomad(1.9 億美元)、Harmony(1 億美元)和 Qubit(8000 萬美元)。
當年,它佔 DeFi 所有損失的 73%,到 2025 年,由於驗證機制的改進、去中心化驗證器集的建立以及向原生跨鏈消息傳遞的更廣泛轉變,該橋的份額已驟降至 3%。
閃電貸攻擊也經歷了同樣的衰落過程。2020 年,閃電貸攻擊是 DeFi 領域的標誌性技術,佔所有損失的 54%;而到 2025 年,這一比例將降至 1% 以下,因為相關協議採用了專門針對此類攻擊的防禦措施:時間加權平均價格、 Chainlink預言機集成、重入保護以及假定攻擊者可以在單個原子交易中操縱價格的設計。
私鑰洩露事件也出現了類似的下降,從 2022 年的 28.7% 的損失降至 2025 年的 8.1%。這些類別的損失減少都有著相同的根本原因,那就是業界認識到了一種可重複的模式,並建立了一套標準化的應對措施。正如CryptoSlate在 2025 年終回顧中所發現的那樣,這些應對措施在很大程度上仍然有效。
剩下的部分更難防禦。
排除通用攻擊後,剩下的是更為棘手的一類攻擊:預計到 2025 年,89.1% 的 DeFi 損失將源於協議邏輯漏洞,也就是特定應用程序設計中的代碼級缺陷。橋接攻擊涉及可識別的信任假設,而閃電貸攻擊屬於已知的攻擊技術範疇,因此兩者都可以使用可複用的模式進行防禦。
然而,協議邏輯漏洞本質上是定製化的。它源於特定代碼庫的數學運算、訪問控制或可組合性選擇,因此很難系統性地防禦,因為每個實例都是一個獨立的難題,與前一個實例幾乎沒有共同之處。
多鏈部署正是將這些特定漏洞演變成全面危機的原因。ImmuneFi 的報告指出,2021 年最具代表性的多鏈事件——價值約 6.11 億美元的 Poly Network 漏洞——與 2025 年的 Balancer 漏洞有著直接的關聯。
Poly Network 的故障發生在系統間的連接點,也就是網橋造成的瓶頸處;而 Balancer 的故障則源於相同的邏輯,在共享代碼、簽名路徑和驗證假設的網絡中同樣會發生故障。一旦某個鏈成為主流協議的默認部署方案,無論其自身的基礎設施多麼完善,它都會承擔其所承載的一切的風險。
這改變了衡量生態系統安全性的方式,該報告的方法是通過將多鏈攻擊造成的全部損失歸因於每條受影響的鏈來體現這一點,其邏輯是所有六個網絡的參與者都受到了全部影響。
但這樣做的代價是, Polygon、 OP 主網、Base 和 Sonic 的 2025 年黑客攻擊數據受到 Balancer 級聯攻擊的嚴重影響。此外,該報告完全剔除了中心化交易所的故障,因此,當年最大的單筆盜竊案——被 FBI 認定為朝鮮所為的 15 億美元Bybit黑客攻擊——被歸咎於監管失誤,而非協議故障。
按損失與 TVL 的比率來看,主要生態系統中最安全的層級是以太坊(約 0.42%)、 Solana (約 0.42%)和BNB Chain(約 0.33%),這三個 DeFi 生態系統按鎖定價值計算最大,這表明規模和安全性一直在共同提高,而不是相互犧牲。
雖然這些改變對一般協議來說益處良多,但對普通用戶而言卻並非如此。現在,如果應用程序攜帶了從其他地方導入的缺陷,就可能造成數據丟失;而多鏈應用程序的便利性恰恰使得這種錯誤從局部問題蔓延到公共領域。
加密貨幣之所以創建所有這些獨立的區塊鏈,部分原因是為了避免依賴任何單一系統,但諷刺的是,在所有這些區塊鏈上運行相同的少數幾個流行協議,反而重建了這些區塊鏈原本想要擺脫的集中化現象。
下一次重大事件發生時可能看起來很小(例如,廣泛部署的協議中存在一個邏輯漏洞),但只有當人們意識到同樣的漏洞代碼一直存在於六個網絡中時,才會揭示其真正的規模。
