写过加密世界最多人使用的智能合约安全框架的人,现在劝你把钱全部撤出DeFi。
OpenZeppelin联合创办人Manuel Araoz近日在社群媒体发文,表示他已改变对DeFi安全的看法,目前的结论是「所有DeFi都不安全」。他透露自己已经开始亲自建议亲友退出所有DeFi部位,即便是Aave、MakerDAO和Compound这类长期运作的「蓝筹」协议也不例外。
Araoz点出的核心问题在于攻击者与防御者之间结构性的不对等。他表示,AI代码代理(coding agents)在发现智能合约漏洞方面「能力超群」,而这种能力天然偏向攻击方。防御者必须堵住每一个漏洞,攻击者只需要找到一个就能把钱搬走。
这段话从安全公司创办人嘴里说出来格外有重量。OpenZeppelin的智能合约库被全球绝大多数Solidity开发者使用,Araoz对DeFi安全的理解不是纸上谈兵。他的判断等于在说:目前的技术架构下,DeFi的安全模型从根本上就是攻方占优。
资料站在Araoz这边。4月单月DeFi协议被盗近6.3亿美元,是自2025年2月Bybit被盗约15亿美元以来损失最惨重的月份。其中Drift(2.85亿美元)和Kelp DAO(2.93亿美元)两起重大漏洞利用事件,均被追踪机构归因到北韩政府支持的黑客组织Lazarus Group。
市场信心已经明显受挫,DeFi协议总锁仓价值(TVL)自4月中旬以来下降约14%,从约1,720亿美元降至1,480亿美元。5月也没有安宁,迄今已发生25起安全事件,包括Verus Network跨链桥被利用损失1,160万美元,以及Polymarket的UMA CTF Adapter遭攻击损失约57万美元。
40多个协议在今年前五个月陆续宣布关闭或进入清算模式。统计上,北韩关联的攻击者占了2026年全球加密货币黑客损失的76%,比起2025年的64%进一步攀升。对DeFi失去信心的危机,还在蔓延。
Manuel Araoz认为AI代码代理让攻击者在发现漏洞上占尽优势,防御者必须堵住所有漏洞,但攻击者只需找到一个就能盗走资金,这种结构性不对等让包括Aave、MakerDAO在内的所有DeFi协议都有风险。
截至5月底已超过7.7亿美元,仅4月就被盗近6.3亿美元。最大两起事件为Drift(2.85亿美元)和Kelp DAO(2.93亿美元),均与北韩黑客组织Lazarus Group有关。