当前位置: 首页
web3.0
DeFi安全警报:审计专家紧急呼吁撤离所有项目

DeFi安全警报:审计专家紧急呼吁撤离所有项目

热心网友 时间:2026-07-18
转载

OpenZeppelin创始人ManuelAráoz认为所有DeFi协议均不安全,已劝朋友从Aave、MakerDAO等撤资。AI编程助手指数级提升漏洞发现与利用能力,使攻防严重不对等。近期DeFi黑客事件频发,损失数亿美元,风险收益比已失衡,当前最理智选择是撤资离场。

“说实话,我现在觉得所有DeFi都不太安全了。”

免费的交易所推荐:

OpenZeppelin创始人Manuel Aráoz上周在X上发了这么一句话,直接炸开了锅。本来DeFi市场就已经够沉闷了,这下更像往死水里扔了颗深水冲击波。

DeFi安全警报:审计大神紧急呼吁撤离所有DeFi项目!_图2

Manuel甚至坦言,他已经开始劝身边的朋友从各种DeFi协议里撤资了——包括Aa ve、MakerDAO、Compound这些以前被大家当成“低风险蓝筹”的项目。

这可不是什么外行在瞎喊。恰恰相反,Manuel本人就是DeFi安全体系最核心的搭建者之一,而他创立的OpenZeppelin,可以说是行业里最主流的安全审计公司。他们的合约库、安全标准和审计流程,几乎渗透进了整个DeFi生态。

让Manuel态度发生180度大转弯的原因,是AI。他悲观地认为,AI编程助手在发现和利用智能合约漏洞这方面的能力,正在以指数级的速度增长。

换句话说,以前顶级白帽团队花几周才能挖出来的问题,现在AI几分钟就能扫一遍找到;以前黑客需要花大量时间研究协议的逻辑,现在AI直接自动分析攻击路径;以前DeFi引以为傲的“公开透明”是优势,现在反而成了攻击者最好的训练素材。

Manuel还点出了一个更致命的问题:智能合约安全本质上是一个极度不对等的游戏——防守方必须把所有的漏洞都堵上,而攻击方只要找到一个,就能把钱偷走。在AI开始指数级提升攻击效率之后,这种不对等正在迅速倾斜,甚至失控。

冰冷的现实:DeFi已经成了黑客的提款机

回头看看过去几个月DeFi发生的安全事件,你就会发现Manuel的担心一点都不夸张。

上个月可以说是DeFi历史上最黑暗的一个月。

  • 4月1日愚人节当天,Drift Protocol因为管理员权限被劫持加上多签执行漏洞,损失了2.8亿美元。
  • 紧接着4月19日,Kelp DAO的跨链桥协议被攻破,损失2.92亿美元。黑客后续还通过Aa ve等借贷协议转移资产,导致整个DeFi领域陷入了坏账和连锁反应的阴影里。

到了5月,事故不但没减少,反而扩散得更猛了。

  • 5月15日,THORChain遭到攻击。新加入的节点运营商利用GG20阈值签名方案(TSS)漏洞,重构了金库私钥,直接发起出站交易,造成超过1000万美元的损失。
  • 5月18日,Verus的跨链桥协议被攻击。攻击者伪造跨链导入数据,绕过了验证环节,从以太坊储备中提取资产,窃走了大约1158万美元。
  • 5月19日,Monad上的Echo Protocol因为私钥泄露遭袭击。攻击者铸造了1000枚eBTC(价值7670万美元),并通过之前已经测试过的攻击路径,经由Curvance把资金转走了。
  • 5月24日,MiCA监管体系下的合规稳定币发行方StablR被攻击。黑客通过增发EURR和USDR获利超过280万美元,还导致EURR和USDR发生了脱锚。
  • 5月25日,SquidRouter模块被攻击,86个Gnosis Safe钱&包被盗,损失约300万美元。
  • 5月27日,StakeDAO部署者的私钥在Arbitrum上泄露。攻击者铸造了约5.45万亿枚vsdCRV,并部分兑换成43.7个ETH后跑路了。

这种高频率的安全事件已经敲响了警钟——从链上的代码到链下的管理,DeFi似乎正在全线崩溃。

AI已经成了黑客手中的核武器

为什么DeFi攻防会在最近几个月突然加速恶化?除了传统黑客技术本身在进化,AI大模型能力的飞速提升,正在变成打破平衡的那个终极砝码。

以前,想找到一个复杂的智能合约漏洞(尤其是涉及跨链、多层嵌套或者极其隐蔽的重入逻辑),顶尖黑客也得花上几周甚至几个月来梳理代码。但现在,随着具备超长上下文、强逻辑推理、以及能自主调用工具的AI袋里(Agents)逐渐成熟,这一切都变了。

  • 秒级扫描 + 全网“零日漏洞”挖掘:攻击者只需把开源代码库丢给新一代AI推理模型,AI就能在几秒钟内像资深安全专家一样,推演几百种极端交互场景,精准找到人类审计师疲劳时漏掉的边界条件。
  • 自动生成攻击脚本:AI不仅能发现漏洞,还能自己写、测试、部署用来窃取资金的“黑客智能合约”。
  • 链下运维 + 社会工程学的完美配合:AI可以伪装成一个完美的开发者去钓鱼,或者全天候监视DeFi团队的GitHub提交记录。一旦团队上传了包含敏感信息或未经测试的修复代码,AI会在几秒内发起攻击——比人类安全员反应快得多。

在这场AI加持的安全攻防战中,黑客靠着AI拥有了近乎无限的弹药和秒级的攻击速度,而DeFi这边却受限于慢吞吞的治理投票、多签确认和滞后的安全审计,根本没法做出对等的防御。

上个月,Claude背后的AI公司Anthropic正式公布了新一代模型Mythos。这是人类历史上第一个总参数突破十万亿量级的模型(相比之下,现在市面上主流模型的参数量也就几千亿到一万亿左右),训练成本高达惊人的100亿美元。

然而,由于Mythos在网络安全方面的特化能力——Anthropic曾透露,他们在短短几周内用Mythos识别出了数千个零日漏洞——以至于他们甚至不敢直接公开发布这个模型,怕被黑客群体恶意利用。目前他们打算先通过一个叫“玻璃之翼”的计划,让头部大厂试用排查,提前修补潜在漏洞。

现阶段的DeFi安全形势已经这么严峻了,很难想象Mythos公开发布之后,整个行业的安全防线会遭遇什么样的新威胁。

最大的问题:风险收益比早就失衡了

对于普通的DeFi参与者、流动性提供者(LP)以及那些大资金玩家来说,现在最重要的事,是坐下来好好算一笔账。

以前,大家愿意把钱存进DeFi,图的是比传统金融高出好几倍的年化收益。在牛市或者流动性挖矿特别疯狂的时候,10%、20%甚至更高的收益率,确实能让人忽略掉“潜在技术风险”的心理包袱。

但到今天,这个底层逻辑早就被碘伏了——DeFi的风险收益比已经严重失衡。收益这边,随着市场进入存量博弈、安全垫逐渐增厚,大多数主流、相对靠谱的DeFi协议的真实收益率已经跌回到了个位数;风险那边,你投进去的本金暴露在一个随时可能被AI攻破、被闪电贷瞬间清空的黑箱里。一旦协议遭到黑客攻击,代币归零、资金池被抽干往往就发生在几分钟之内,而且没有任何法律、保险或者央&行能兜底。

拿本金100%全亏的风险,去博一个差不多5%的年化收益,这笔买卖真的不划算。

Manuel的话可能有点绝对,但它确实撕开了DeFi最后那层遮羞布。在黑客已经把AI当成常规武器、安全事件不断爆发的现实面前,如果你没有做好“为了这点收益,可能损失全部本金”的心理准备,那么“赶紧撤资、落袋为安”,或许是当前市场周期下最理智、最符合风控原则的选择。

风险声明:本文内容仅供学习参考,不构成任何投资建议、交易建议或收益承诺。加密货币及迷因币市场波动极大,价格预测与市场数据请以官方公告、交易所实时页面及行情平台为准。投资者需独立判断、审慎决策,自行承担所有投资风险。

来源:https://www.jb51.net/blockchain/1029170rmlr.html

游乐网为非赢利性网站,所展示的游戏/软件/文章内容均来自于互联网或第三方用户上传分享,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系youleyoucom@outlook.com。

同类文章
更多
热门专题
更多
刀塔传奇破解版无限钻石下载大全 刀塔传奇破解版无限钻石下载大全
洛克王国正式正版手游下载安装大全 洛克王国正式正版手游下载安装大全
思美人手游下载专区 思美人手游下载专区
好玩的阿拉德之怒游戏下载合集 好玩的阿拉德之怒游戏下载合集
不思议迷宫手游下载合集 不思议迷宫手游下载合集
百宝袋汉化组游戏最新合集 百宝袋汉化组游戏最新合集
jsk游戏合集30款游戏大全 jsk游戏合集30款游戏大全
宾果消消消原版下载大全 宾果消消消原版下载大全
  • 热门数据榜
相关攻略 相关攻略
更多