鏈上保險與風險轉移層：DeFi 下一階段的關鍵拼圖

簡介

來源：de.fi

過去一年，DeFi 領域累計損失已高達 20.2 億美元，而最終可追回的資金僅約 5%。這一規模相當於 Curve Finance TVL 的約 1.1 倍，顯示安全事件仍在持續侵蝕行業資本基礎。

自今年 3 月以來，DeFi 領域亦接連發生多起具有代表性的安全事件：

Solv Protocol 因 mint() 函數中的重複鑄造漏洞損失 273 萬美元；Venus Protocol 在 BSC 上因供應上限校驗漏洞被繞過，形成 218 萬美元壞帳；Resolv Labs 因私鑰外洩被非法鑄造約 8,000 萬美元的無抵押 USR，最終造成約 2,500 萬美元資金損失；而 Drift Protocol 則發生 2026 年迄今最大規模攻擊，損失超過 2.8 億美元。攻擊者提前數週部署攻擊路徑，並透過社交工程獲取 2/5 multisig 批准，最終完成管理權限接管，在短時間內轉移超過一半的協議資金。此外，KelpDAO 亦因底層資產安全事件引發 rsETH 風險外溢與流動性擠兌，進一步放大 LRT 相關市場壓力。

這些事件揭示了一個殘酷的現實：無論底層技術多麼先進，用戶資金始終暴露在無法完全消除的尾部風險之中。

其實，DeFi 在其他層面過去幾年已經建立起相當紮實的基礎：

• 基礎設施層：以太坊完成 The Merge，Base、Solana 等 L1 / L2 持續提供低成本、高吞吐的執行環境，鏈上結算的穩定性與可靠性已逐步接近傳統金融基礎設施。

• 借貸 / 收益層：Aave、Morpho、Kamino 等協議已形成較成熟的鏈上借貸市場；Pendle 則進一步實現利率拆分，使收益類產品日益豐富。

• 策略 / 資產管理層：Gauntlet、Steakhouse Financial、MEV Capital 等專業風險管理團隊，開始以「鏈上基金管理人」的角色參與市場，主動進行風險與收益管理。

但即便如此，整個 DeFi 堆疊在「風險轉移」這一關鍵環節上，至今仍存在明顯缺口。

對標傳統金融：保險層的缺位

傳統金融體系能夠承載數百萬億美元資產，依賴的不僅是監管，更是一套完整的風險轉移機制：銀行存款有 FDIC 保障，證券帳戶有 SIPC 兜底，機構交易有信用衍生品對沖。

保險行業作為「金融系統的減震器」，全球保費收入約占全球 GDP 的 6–7%，若計入保險公司持有的資產管理規模，其對資本市場的影響力遠超這一比例。(1)

相比之下，鏈上保險產品的保費規模不足 DeFi TVL 的 1%，二者之間的鴻溝本身就是一個市場機會的量級信號。

為何 DeFi 保險如此難做？

風險難以精算，傳統保險定價框架難以直接適用

DeFi 所面對的風險類型高度複雜且異質，包括智能合約漏洞、穩定幣脫錨、預言機失靈等，而這些風險往往同時存在、相互疊加。與傳統保險不同，DeFi 缺乏足夠長周期、可供驗證的歷史理賠數據，使得傳統依賴長期損失分布與事故頻率的精算模型難以有效發揮作用。

與此同時，DeFi 風險的邊界也遠比傳統保險模糊。傳統保險中的承保對象，如房屋、車輛或人身，通常具有清晰、獨立的風險邊界；但在 DeFi 中，協議之間高度可組合，一個底層元件的失效，往往會沿著流動性、抵押品、收益策略和清算路徑向外傳導，形成跨協議的鏈式損失。這使得承保範圍、責任歸屬和損失界定都變得更加困難。

資本效率偏低，難以與 DeFi 原生收益競爭

保險業務本質上需要預先鎖定大量準備金，以覆蓋潛在賠付責任；但在 DeFi 生態中，用戶與流動性提供者往往更傾向於將資金配置到能夠持續產生更高收益的策略中，例如借貸、做市、套利或收益聚合。

來源：Nexus Mutual

相比之下，當前大多數鏈上保險池所提供的回報率，普遍低於主流 DeFi 收益水平，因而難以與這些更具吸引力的資金用途競爭。在這種機會成本約束下，保險池往往難以持續吸引充足的承保資本，進一步限制了保險產品的供給深度與規模化擴張能力。

赛道分析

儘管存在此缺口，我們已在鏈上觀察到保險／風險生態的初步雛形：

一端是 Nexus Mutual 這類真正承接風險轉移功能的承保資本池；另一端則是 Catalysis、OpenCover 將保障機制嵌入存款與產品路徑之中，同時配合由 Credora、LlamaRisk 等提供的風險評級，由 Accountable 等提供的風險驗證，以及由 Hypernative、Blocksec 等提供的即時風險偵測能力。

先界定四個功能層。

• Coverage/Underwriting 是最終吸收損失、收取保費、裁定賠付的承保層，並將保障原生嵌入 vault 或產品動線，使 cover 不再是外掛。

• Risk rating 是將風險轉成可比較的評分、資本建議與參數。

• Verification 則是確認資產、負債與儲備是否真實存在並可被鏈上驗證。

• Detection 則在損失發生前提供告警、交易篩查、模擬或自動阻斷。

這四層共同構成本文的分析框架。

承保/核保層

Catalysis 的核心設計，是將風險保障直接嵌入 DeFi vault，使保障成為資產配置路徑的一部分，而不是用戶額外購買的外部保險產品。換句話說，用戶將資金存入 vault 時，就已經自動獲得對應風險保護，而不需要再單獨尋找保險協議。

在機制上，Catalysis 將三類參與者連接成一條完整的鏈上承保流程：

來源：Catalysis

首先，由 restakers 把 ETH、BTC 或穩定幣等資產存入 EigenLayer、Symbiotic 等 restaking 協議，形成可被懲罰的經濟安全資本池，這些資金構成系統的原始承保能力；其次，這些資本被分配到不同的 CoverPools，每個 CoverPool 對應某一類風險，例如特定 lending vault 或收益策略；最後，vault 用戶支付 coverage fees，作為獲得風險保護的成本，同時這些費用會分配給提供承保資本的 restakers。(2)

風險如何定價？

在 Catalysis 中，風險定價並不是由保險委員會逐筆判斷，而是透過一套由協議團隊預先設定的參數模型自動執行。整體邏輯可以理解為：風險越高，需要配置的可罰沒承保資本越多，對應的保障費用也越高。

具體來說，每個 CoverPool 會針對不同類型的 vault 風險設定承保容量、slashing 比例與費率參數，用來決定需要鎖定多少 restaked capital 作為保障，以及用戶需要支付多少 coverage fee。這些費用本質上可以理解為「租用承保資本」的成本。

同時，承保資本來自 restakers，因此費率也受到資本供給影響：當可用承保資本充足時，保障成本較低；當資本稀缺時，費率則會上升。這使得風險定價既由協議參數決定，也受到市場資金供需的約束。

OpenCover 同樣屬於「嵌入式保障基礎設施」，但它並不是最終承保方，而更像是鏈上保障產品的分發與結構化平台，負責將底層承保能力包裝成可直接接入 DeFi 產品路徑的保障模組。(3)

來源：Opencover

而在承保結構上，OpenCover 自身並不提供承保資本。

Covered Vaults 背後的實際承保由 Nexus Mutual 提供：當用戶存入金庫份額後，Nexus Mutual 的質押池會按實時保障規模鎖定相應數量的 NXM，作為鏈上可驗證的承保資本，使保障能力能夠隨金庫風險敞口同步擴展。

在風險定價方面，Covered Vaults 的保障費率並不是固定不變的，而是沿用 Nexus Mutual 的動態定價機制。

簡單來說，承保池管理者會先設定可接受的最低費率，再圍繞初始價格隨供需變化調整：當某一金庫的保障需求快速上升、承保容量被大量佔用時，價格會自動上調；反之，當容量充足而需求較低時，價格則會逐步回落。整體上，這是一套隨風險和資金占用動態變化的鏈上定價機制。(4)

風險評估層

目前市場上已出現數個專注於 DeFi 風險評估的機構，分別從信用評分、可驗證數據基礎設施與動態參數模擬三個不同方向切入，構成鏈上保險定價與風險管理的重要基礎。

Credora 是目前 DeFi 領域最接近傳統信用評級機構（如 S&P、Moody's）的量化風險評分系統，由 RedStone 推出，專門對代幣、借貸市場與 Vault 組合進行系統性風險評級，為協議提供可量化的資本配置依據。

三層評級架構

1）代幣評級

對 LST、穩定幣等資產計算違約概率（PSL），透過基準錨定方法論結合風險修正因子，生成基礎風險分數。

2）借貸市場評級

區分不同市場結構：

隔離抵押市場（如 Morpho）：使用蒙特卡洛模擬大量隨機情境，反覆推斷一件事情可能會怎樣發生，最後估算結果的機率分布。主要看「某一種抵押品出問題時，這個市場會不會出現明顯虧損」。

抵押市場（如 Aave、Spark）：結構更複雜，因為同一類資產可能被反覆拿去借、再拿去抵押，風險會一層疊一層。所以它重點評估的是：如果底層資產出問題，這種連鎖使用會不會把風險放大，最後影響整個市場。(5)

3）策略組合評級

將 Vault 視為跨市場資產組合，除底層配置外，亦納入管理人能力與治理結構質量。

評級方法

來源：Credora

採用 A+ 至 D 字母評級體系，基於三大評級機構 1990–2023 年歷史違約率數據，並以指數函數建立 PD 曲線，使傳統信用評級可映射至 DeFi 風險分布區間。

與 Credora 不同，LlamaRisk 的核心不是評分，而是建立一套可驗證、可鏈上存證的風險數據框架，解決 DeFi 中最關鍵的問題之一：數據可信度。

兩大核心組件

SAVE 框架（Structured Attestation & Verification Engine）

一套開源 TypeScript 工具庫，用於將結構化金融數據轉化為鏈上可驗證記錄，包含：

• Claims：結構化事實聲明

• Proofs：密碼學證明

• Attestations：鏈上發布並存入 IPFS 的簽名證據

適用場景不限於儲備金證明，也包括抵押品質量與策略透明度驗證。

LlamaGuard Suite

建立於 SAVE 之上的 RWA 風險管理工具組：

• LlamaGuard Proof：自動化金融數據存證

• LlamaGuard NAV：基於 Chainlink 的有界 NAV 預言機

• LlamaGuard Actions：條件觸發式風險響應機制(6)

包括 Aave、Curve、Midas、Ethena 在內的多個協議也在使用，來獲取風險判斷，例如流動性狀況、資金利用率變化、預言機價格偏離等。這些資訊能幫助團隊更有依據地設定準備金規模、債務上限，以及其他關鍵風險參數。

而 Chaos Labs 是目前覆蓋範圍最廣的 DeFi 風險分析平台之一，專注於即時模擬、市場壓力測試與風險參數優化。

三大核心能力

第一，是動態風險監測，即實時追蹤協議在多條鏈上的關鍵指標，包括總供應與借貸規模、資金利用率、清算事件，以及抵押品集中度和鯨魚地址的風險暴露；目前其監測範圍已覆蓋超過 637 億美元的資產供應規模，橫跨多條主流公鏈。

第二，是風險暴露模擬，即針對極端市場情境進行壓力測試，例如抵押品價格大幅下跌、流動性快速收縮，或單一資產遭遇集中拋售，以評估協議在這些情況下的償付能力和潛在壞帳風險。

第三，是參數優化，即根據模擬結果，對協議的關鍵風險參數提出調整建議，例如 LTV、清算門檻和利率曲線，從而幫助協議在資本效率與風險控制之間取得更好的平衡。(7)

驗證層

驗證層要解決的就是更底層的問題：鏈上數據到底是否真實可信。

若缺乏可靠的資產、負債與儲備驗證機制，再精細的風險模型也可能建立在錯誤前提上。就目前市場而言，較具代表性的驗證基礎設施主要包括 Chainlink Proof of Reserve 與 Accountable。

Chainlink PoR 是目前最成熟的鏈上儲備驗證網路之一，主要用於驗證穩定幣、跨鏈資產與 RWA 是否具備足額抵押，核心目標是降低 DeFi 對鏈下資產真實性的信任風險。

來源：Chainlink

其流程大致可分為幾步：先由審計機構或數據提供方持續收集儲備資訊，再由 Chainlink 去中心化預言機網路進行驗證與共識，當儲備變化超過預設閾值或達到固定更新時間時，數據便會寫入鏈上，供協議直接調用。(8)

PoR 的關鍵價值，在於它不只是顯示數據，還能進一步接入協議邏輯：

• Secure Mint：只有在儲備足夠時，才允許新增鑄造，避免無抵押增發

• Circuit Breaker：當抵押異常時，可自動觸發暫停借貸或相關操作

Accountable Capital 則補上了傳統 PoR 的核心盲點：只驗證資產，不驗證負債。

來源：Accountable

單看資產並不足以證明一家機構健康，因為它仍可能同時背負更大的隱藏債務。Accountable 的核心做法，是利用零知識證明在不暴露敏感資訊的前提下，同時驗證資產與負債，從而提供更完整的償付能力證明。

運作方式

其核心架構 Data Verification Network（DVN）會持續整合多類數據來源，包括鏈上地址、托管帳戶、銀行帳戶、內部帳務系統與合約倉位，並在本地加密處理後生成 ZKP，證明某機構是否具備足夠淨償付能力，而無需公開具體地址、API 金鑰或交易策略。(9)

相較於只看儲備是否存在，Accountable 更進一步驗證整體財務狀況，特別適合用於需要持續揭示槓桿、對沖倉位與負債義務的機構型策略或穩定幣架構。

風險偵測層

風險偵測層解決的是另一個關鍵問題：攻擊是否能在造成損失前被及時發現並阻斷？

審計屬於部署前的靜態檢查，而偵測層則是協議上線後的「即時免疫系統」。目前最具代表性的基礎設施之一是 Hypernative。

來源：Hypernative

Hypernative 的核心能力在於透過機器學習、交易模擬、圖譜分析與內存池監控，從多個維度持續追蹤異常活動。換句話說，它不只是看合約本身有沒有漏洞，而是監控攻擊是否正在醞釀，例如異常交易路徑、預言機偏離、治理操作異常、前端釣魚或跨協議的關聯行為。(10)

這種偵測能力真正有價值的地方，在於它可以直接接上自動化風控動作。當系統判斷風險達到一定程度時，協議可以即時暫停市場、凍結特定功能、調整 LTV 或 borrow cap、隔離可疑資產，甚至在交易進入區塊前就完成攔截。

相比傳統審計只能提供部署前的靜態報告，這類偵測系統提供的是運行中的持續保護：審計回答的是「可能有哪些問題」，而偵測回答的是「現在是不是正在出事」。

展望

DeFi 保險市場若要真正走向規模化，至少仍有幾項核心問題需要被解決。

第一，承保資本的收益率目前普遍偏低，和鏈上其他收益機會相比，吸引力明顯不足。無論是借貸、做市，還是各類收益聚合策略，資金往往都能找到更高回報的去處。

於是問題會回到最底層的供需邏輯：如果承保保險資金池所獲得的風險補償不夠高，究竟誰會願意長期提供資本，去承擔這些尾部風險？

第二，保險層要真正發揮作用，前提是承保資金池本身必須足夠大，能夠覆蓋中大型安全事件帶來的損失。類似黑天鵝這類事件，潛在損失也可能達到數億美元級別。

當然，風險管理的責任不應完全落在保險端，協議本身也需要透過 timelock、提款限速等機制，盡量避免流動性在單一事件中被瞬間抽乾。但即便如此，保險資金池仍然需要具備相當規模，才能形成有效保障。

更關鍵的是，與 TradFi 相比，DeFi 的安全事故發生頻率更高、攻擊路徑更多元，這也意味著保險層所需承接的資本體量會更大，擴張難度自然更高。

第三，當前 DeFi 協議在系統設計層面的「止損結構」仍明顯不足，使保險層難以有效定價風險。

從保險角度來看，一個關鍵問題並不是是否會發生攻擊，而是在攻擊發生時，損失是否可以被結構性限制。現實情況是，許多協議仍然允許管理員在極短時間內完成大額資金遷移、參數修改甚至合約升級，一旦權限被攻破，損失往往呈現「瞬時釋放」的特徵，導致 LGD（Loss-given-default）接近 100%。

在這種結構下，保險資金實際上是在承接無限尾部風險，這類風險幾乎無法被商業化承保。

相比之下，如果協議在設計層面引入：

• 提款限速（rate limit）

• 單筆 / 單日額度上限

• 預設資金流向白名單

• 強制 timelock

則可以顯著降低單次攻擊的最大損失規模，使風險從「災難型」轉為「可計量型」，保險層才有可能建立合理的定價機制。

第四，DeFi 底層技術結構仍存在大量「未知的未知」，這決定了鏈上協議仍然暴露在不斷演化的新型攻擊面之下。

近期幾個案例就很有代表性：Drift 的問題源於管理員私鑰被社交工程攻破；KelpDAO 的事件則與其 1-of-1 驗證器配置被攻陷有關。在透過 LayerZero 接收跨鏈訊息時，資金釋放前僅由單一節點負責驗證，導致系統出現關鍵性單點失效。

類似這樣的風險並不一定來自程式碼漏洞本身，也可能來自權限設計、跨鏈驗證、運營流程、人為失誤等多個層面。換句話說，鏈上並不是只有「已知風險」需要管理，而是還存在大量尚未被充分識別的潛在風險。

即便市場上已經出現了 Hypernative 這類即時安全監測平台，以及 Chaos Labs、LlamaRisk 等風險評估工具，整個 DeFi 風險管理框架仍需要更長時間迭代，才有可能走向真正成熟和可靠。

1. More about: sigma 03,19 Nov 2024

關於 Gate Ventures

Gate Ventures 是 Gate 旗下的風險投資部門，專注於對去中心化基礎設施、生態系統和應用程式的投資，致力於重塑 Web 3.0 時代的世界。Gate Ventures 與全球行業領袖合作，賦能那些擁有創新思維和能力的團隊和初創公司，重新定義社會和金融的交互模式。

欲了解更多資訊，請訪問：官網 | X | Telegram | 領英 | Medium

免責聲明 ： 本內容不構成任何邀約、招攬、或建議。您在做出任何投資決策之前應始終尋求獨立的專業建議。請注意，GateVentures 可能會限制或禁止來自受限制地區的所有或部分服務。請閱讀用戶協議了解更多資訊，連結：* 。