去中心化却无力抵御：DeFi 被攻击的真相

LeeMaimai

/2025年9月12日

要点总结

• DeFi攻击造成的资产损失在2025年高达21.7亿美元，占加密领域总损失的80%。

• 智能合约漏洞和预言机操控是DeFi攻击的主要方式，攻击手段日益复杂。

• 开源代码和缺乏统一标准使DeFi协议易受攻击，用户需对资产安全负责。

• 使用经过审计的协议和硬件钱包是保护私钥的有效措施。

去中心化金融（DeFi）彻底改变了人们使用金融服务的方式，让全球用户可以在无需许可的情况下进行自动化交易。然而，随着数十亿美元的资金通过这些「无需信任」的协议流动，DeFi 也面临着一个越来越严峻的对手：系统性漏洞。这些漏洞使得 DeFi 虽然分布式，却常常无力自保。

安全挑战的严峻程度

仅在 2025 年，DeFi 攻击就造成了高达 21.7 亿美元 的资产损失，占加密领域总损失的 80%。Cetus、Venus Protocol 和 Nobitex 等知名平台都曾遭遇重大安全事件，不但资金被盗，也严重动摇了用户信心，对整个加密生态造成连锁影响。根据专家分析，此类攻击的数量同比增长了 21%，表明攻击手段正在不断升级、日益复杂。关于近期攻击事件的数据分析及其对行业的影响，可参考 AINVEST 的 DeFi 攻击分析报告。

DeFi攻击的常见方式

智能合约漏洞 是攻击者最常利用的入口。合约中存在的编程错误、逻辑漏洞或边界条件未考虑周全，都可能被黑客利用。例如，他们可能通过操纵借贷协议中的清算逻辑，或者通过闪电贷操控流动性池，从中牟利。

预言机操控 也是常见的攻击方式。许多 DeFi 协议依赖外部预言机提供资产价格或触发合约执行，而攻击者可以通过操控这些数据源，尤其是在闪电贷的配合下，影响价格走势，从而套利。这类攻击在过去几年中占据了超过 62% 的 DeFi 安全事件。

供应链攻击 则是针对第三方依赖组件的渗透，比如开发库、工具或外部集成。2025 年的 Oracle Cloud 数据泄露事件就暴露出这类依赖的脆弱性。此外，像 Bybit 被黑导致的 15 亿美元损失也说明，基础设施漏洞和内部人员因素往往是系统中最薄弱的环节。

治理攻击 则是利用 DeFi 协议的去中心化治理机制作恶。攻击者可能通过闪电贷或集中持币获得大量投票权，从而篡改协议参数甚至转移资金。关于治理攻击等更多攻击方式的详情，请参考 QuillAudits 的 DeFi 攻击向量指南。

此外，社交工程和钓鱼攻击仍然频繁发生，攻击者诱导用户泄露私钥或授权恶意合约，风险极高。

如果你想了解超过 30 种 DeFi 攻击方式及其详细解释，可以查阅 QuillAudits 的 Web3 安全资源。

系统性弱点：DeFi 为何如此脆弱？

开源代码：大多数 DeFi 协议公开其源码，这有利于创新与透明，但也意味着攻击者可以轻松研究并发现漏洞。
高度组合性：DeFi 协议往往建立在其他协议之上，一个环节出问题可能引发连锁反应。
缺乏统一标准：虽然审计和形式化验证逐渐被重视，但尚未普及。目前仅约 30% 的开发者采用形式化验证，使得多数项目仍面临较高风险。
治理机制分散：DAO 虽然体现了去中心化精神，但也容易被操控、勾结甚至利用法律监管空白。比如英国国家风险评估报告就指出，目前对 DeFi 的监管存在盲区，资金被盗后难以追踪和追回。详见 Deccan Herald 对 DeFi 国家安全风险的报道。

人为因素与监管漏洞

除了技术层面的漏洞，人为失误和社交工程攻击也是常见风险。攻击者可能通过钓鱼邮件、恶意文件或社交媒体渗透用户或项目团队。一旦私钥泄露，基于区块链的匿名性和全球性，其资产几乎无法追回。

尽管监管正在逐步推进，但整体仍然零散不一。DeFi 在反洗钱（AML）和了解你的客户（KYC）方面的标准执行并不一致，导致盗窃资金难以追踪。尤其当攻击者利用跨链桥、混币器和隐私工具时，监管难度更进一步升级。

目前的应对措施——以及还远远不够

在安全方面，行业确实正在尝试多种新技术和方案：

形式化验证：通过数学方法验证合约的正确性，已在一些试点中将漏洞率降低了 70%。
保险协议：如 Nexus Mutual 和 InsurAce 提供一定程度的风险保障，但覆盖面有限，自 2022 年起仅赔付了不足 1% 的 DeFi 总损失。
自动化审计工具和漏洞赏金计划：帮助项目在上线前提前发现和修复潜在问题。

然而，这些措施的采纳度仍然不高，许多项目仍优先追求快速上线和市场扩张，安全保障则被忽视，留下巨大隐患。