为什么DeFi总是被黑客攻击?你可能忽略了这些危险信号!
2024年DeFi领域损失高达10.29亿美元,2025年损失6.49亿美元,而仅在2026年第一季度就有1.37亿美元被盗。注:2026年4月份以来DeFi损失就超过6亿美金。
为什么黑客攻击事件屡屡发生?为什么我们总是忽略相同的危险信号?当剥离这些漏洞的表象后,您会发现它们绝非随机发生,而是有迹可循的。
本文梳理了重大DeFi安全事件背后的底层规律与极易被忽视的早期预警信号。基于对逾百起攻击案例的深度复盘,文章在文末给出了核心的防范建议。
漏洞频发的真相与分类
在开始之前,有必要澄清为什么我们要将这些漏洞划分为不同的类别。
从根本上说,DeFi的失败往往发生在系统的特定层面上,而每一层的崩溃方式都有着本质的区别:
- 代码层面:当假设没有被强制执行时就会失败。逻辑上并没有明显的错误,但是边缘情况、约束条件或不变量从未被完全检查过。
- 基础设施:当信任被置于可能受损的系统时就会失败。
- 业务逻辑:当“按规则游戏”本身成为一种攻击手段时就会失败。
以下是各类漏洞典型案例的结构化总结:
基础设施:控制权正确,但语境错误
当权力被使用但缺乏全面认知时(而不是当密钥被盗时),基础设施就会失败。在各个安全事件中,我们总能看到一致的模式:正确的人签署了交易,使用了正确的权限,系统也完全按照设计运行。
然而,资金还是丢失了。因为系统验证的是真实性,而不是意图。一个有效的签名只能证明是谁签署的,但不能证明他们真正理解了自己签署的内容。验证与理解之间的这种差距,正是基础设施崩溃的温床。
@DriftProtocol:他们过早地进行了签名
交易是有效的,签名也是真实的。他们只是没想到它会在之后被使用。
它是在一次例行检查中被批准的,当时并没有发生任何事情。然后有一天它被执行了。没有任何东西被伪造或更改。
问题很简单:他们签署了某项内容,但没有控制它何时被使用。
@Bybit_Official:他们签错了东西
系统正常工作,签名也是有效的。人们只是签署了与他们想象中不同的东西。
他们看到的是一次正常的转账,然后他们批准了。但在底层,它正在改变钱包的控制权。在通常意义上,没有任何东西被黑客攻击,一切都遵循了规则。
问题很简单:他们看到的……并不是他们所签署的。
@UXLINKofficial:他们有权这么做
系统允许这样做,权限也是有效的。没有密钥被盗,也没有绕过任何检查。
管理员角色被更改,所有权被重新分配。所有这些都是通过合法的调用完成的,一切都按设计运行。
问题很简单:系统赋予了足够的权力,并相信它不会被滥用。
代码:假设未被强制执行的地方
代码漏洞并非来自明显的Bug。它们往往来自那些按预期工作,只是并非在所有条件下都能正常工作的系统。
- 规则虽然存在,但并未在所有地方被强制执行;
- 边缘情况被忽略,直到它们被恶意触发;
- 数学公式在理论上行得通,但在代码实现时却崩溃了;
- 安全检查覆盖了预期路径,但没有覆盖实际的攻击路径。
简而言之,代码在它的假设不再成立的地方失败了。
Bunni:数学原理没问题,直到它出错了
系统经过了审计,他们确认代码是正确的。模型在纸面上非常有意义:流动性、定价,一切都核对无误。
但在实践中,出现了微小的舍入误差。而且它们没有抵消,而是不断累积了起来。攻击者并没有破坏系统,只是重复了它:一遍又一遍。问题很简单:数学理论是正确的,但代码实现并不精确。
@Balancer:小错误,反复出现
系统正常工作,数学计算也是正确的。每笔交易都有极小的舍入损失,几乎可以忽略不计。
但它没有重置,而是累积了起来。攻击者并没有只利用一次,他们在一个流程中多次利用了它。
问题很简单:如果能重复足够多次,一个小错误就会滚雪球变成一个大错误。
Venus:规则存在,只是并非无处不在
系统有一个限制,检查机制也被实现了。但仅仅是在一个地方。
通过另一条路径,同样的规则并不适用。攻击者并没有绕过系统,他们只是绕开了那个检查点。问题很简单:一个没有在所有地方被强制执行的规则,就等同于没有规则。
业务逻辑:当系统信任了错误的东西
系统遵循着自己的规则,它信任价格。如果价格上涨,你就可以借入更多资金。
因此,攻击者购买自己的资产,人为推高价格。现在系统认为他们很富有,并允许他们借入真正的价值资产。然后他们套现离场。没有任何东西被破坏,系统只是信任了一些极易被 操纵的东西。
Mango:他让自己看起来很富有
系统信任价格:更高的价格 → 更多的抵押品 → 更多的借款。
攻击者购买了大量低流动性代币,价格随之上涨。然后他们利用这个虚高的价格从协议中借入真实的资产。之后,他们停止支撑价格,价格随之崩溃。抵押品不再充足,但借出的资金已经消失了。没有任何东西被黑客入侵,系统只是相信了一个可以被 操纵的价格。
Impermax:价格太容易被撼动了
系统信任价格,但市场太薄弱了。
攻击者借入代币,然后针对一个低流动性池进行交易。价格剧烈波动,超出了应有的幅度。现在系统认为该头寸不安全,并强制清算。攻击者为此做好了布局,并拿走了利润。没有任何东西被破坏,价格只是太容易被撼动了。
最终教训:如何生存与发展?
在所有这些漏洞中,有一件事是明确的:你不需要犯错才会赔钱,你只需要在系统崩溃时暴露在风险中。
问题不在于协议被破坏了,而在于它们依赖于可能出错的事物:假设、语境或价格。因此,我们的目标不是去寻找完美的系统,而是控制你对它们的信任程度。
在实践中,这意味着:
- 不要轻信你在界面上看到的东西。
- 不要假设规则总是会保护你。
- 不要把价格或收益率当作绝对的真理。
- 避免将所有资产暴露在一个地方,因为当失败发生时,它们往往发生得非常迅速且毫无征兆。
生存归结于限制损害:使用能够强制执行约束的系统,避免容易被 操纵的设置,并始终保留退出的能力。
在DeFi中,你不能靠信任系统来获胜;你只能靠控制它能伤害你多少来生存。
到此这篇关于为什么DeFi总是被黑客攻击?你可能忽略了这些危险信号!的文章就介绍到这了,更多相关重大DeFi安全事件背后原因分析内容请搜索脚本之家以前的文章或继续浏览下面的相关文章,希望大家以后多多支持脚本之家!
你可能感兴趣的文章
-
Kelp DAO被盗之后,AAVE的情况比你想的更糟
AAVE 协议因 rsETH 漏洞产生巨额坏账,引发大规模流动性挤兑,导致其核心市场(如 USDT、USDC、ETH)利用率达100%,用户资金被锁,协议面临系统性风险与信任危机…
2026-04-20 -
Kelp DAO被盗2.92亿美元,Aave承接巨额坏账
第二大流动性质押协议Kelp DAO遭遇重大安全漏洞,其基于LayerZero的rsETH桥接合约被攻击,损失价值约2.92亿美元的资产,事件根源在于源链私钥被攻破,并可能对Aave等借贷协…
2026-04-19 -
2026 年最佳 DeFi 交易所:顶级去中心化交易所、实际对比解析
本文将深入探讨 2026 年真正重要的去中心化交易所,分析它们的底层机制有何不同,实际费用和风险如何,去中心化交易所的运作方式(以及这种模式为何重要)以及根据你的具体…
2026-04-16 -
什么是DeFi质押?2026年DeFi质押策略的9步入门指南
DeFi 质押涉及将加密货币资产锁定在智能合约中,以支持区块链网路的营运,特别是那些采用权益证明(PoS)共识机制的网路,构建安全的 DeFi 质押策略要求投资者清楚地了解如…
2026-04-15 -
什么是去中心化金融(DeFi)合成杠杆?运作方式、优势及风险解析
合成杠杆正逐渐成为去中心化金融的重要工具,它能帮助投资者更有效地获取更多投资机会、进行风险管理并实现多元化投资,本文就来介绍一下什么是去中心化金融(DeFi)合成杠…
2026-04-15 -
什么是DeFi?了解去中心化金融的工作原理与优势
去中心化金融 (DeFi) 由区块链和智能合约驱动,它正在重新定义金融服务,消除对银行、政府或其他传统中介机构的需求,显着缩短结算时间和降低运营成本,指南将概述决策者最…
2026-04-10 -
2.8亿美元的教训!一文分享2026年DeFi的常见风险路径与安全避坑指南
随着 DeFi 的快速发展,去中心化金融已经从小众极客的玩具,变成了普通人追逐高收益的热土,为帮助大家规避风险,本文总结出参与 DeFi 前必须完成的 5 个关键安全检查,帮助…
2026-04-09 -
一文解析DeFi发展的最大卡点
文章详细介绍了Drift借贷协议遭受黑客攻击的事件,黑客通过长达六月的社会工程攻击,利用了开发者日常操作中的漏洞,最终盗取了约2.85亿美元的用户资产,黑客团队还可能已渗透…
2026-04-09 -
索拉纳币(SOL)基金会多举措强化 DeFi 安全,积极应对持续攻击挑战
Solana 基金会正强化 DeFi 安全性,以应对如 2026 年 Drift Protocol 遭 2.85 亿美元攻击等事件,通过推动多签治理优化、引入时间锁与紧急暂停机制、加强链上监控与安全审计…
2026-04-07 -
什么是DeFi质押?加密货币可持续被动收入入门指南2026最新
文章介绍了2026年DeFi质押作为加密货币投资者产生被动收入流的解决方案,它详细解释了质押的工作原理、优势、不同类型),并提供了初学者指南,需要的朋友可以参考下…
2026-04-07
