原創 | Odaily 星球日報(@OdailyChina)
作者|Azuma(@azuma_eth)
“我認為所有 DeFi 都已不安全。”
OpenZeppelin 創始人 Manuel Aráoz 昨日在 X 上留下的這句斷言,像一個深水炸彈,再次衝擊了本就如死水一潭的 DeFi 市場。
Manuel 甚至表示,自己已開始建議親友從各大 DeFi 協議之內撤出資金,包括像 Aave、MakerDAO 和 Compound 這樣的曾被視作低風險的藍籌協議。
這並不是來自某個外行的危言耸聽。恰恰相反,Manuel 本人就是 DeFi 安全體系最核心的建設者之一,OpenZeppelin 則是行業最主流的安全審計公司之一,其合約庫、安全標準與審計框架,幾乎滲透了整個 DeFi 世界。
導致 Manuel 態度徹底轉向的原因,在於 AI。Manuel 悲觀認為,AI Coding Agent 在識別與榨取智能合約漏洞的能力正呈現指數級增強。
這意味著,過去需要頂級白帽團隊數周才能發現的問題,現在可能被 AI 在幾分鐘內掃描出來;過去黑客需要長期研究協議邏輯,現在可以直接由 AI 自動化分析攻擊路徑;過去 DeFi 的“公開透明”是優勢,現在反而變成了攻擊者最好的訓練語料庫。
Manuel 還提到了一個更致命的問題,智能合約安全本質上是一個極度不對稱的遊戲 —— 防守方必須修復所有漏洞,而攻擊方只需要找到一個,便足以竊取資金。在 AI 開始指數級強化攻擊效率之後,這種不對稱正在迅速失衡。
回看過去幾個月的 DeFi 安全事故,你會發現 Manuel 的擔憂並非誇張。
四月幾乎是 DeFi 歷史上最糟糕的一個月。
而進入五月之後,事故不僅沒有減少,反而進一步擴散。
高頻發生的安全事件已敲響了警鐘,從鏈上代碼到鏈下管理,DeFi 似乎正在全線失守。
為什麼 DeFi 攻防在今年夏天突現加速崩潰之勢?除了傳統的黑客技術演進外,AI 大模型能力的突飛猛進,正在成為打破平衡的終極砝碼。
在過去,尋找一個複雜的智能合約漏洞(尤其是涉及跨鏈、多層嵌套、或極其隱蔽的重入邏輯)需要頂尖黑客數周甚至數月的代碼梳理。然而,隨著具備超長上下文、強邏輯推理、以及具備自主工具調用能力的 AI 代理(Agents)的成熟,這一切發生了質變。
在這場 AI 加持下安全攻防中的戰爭中,黑客憑藉 AI 擁有了近乎無限的子彈和秒級的攻擊速度,而 DeFi 卻受限於慢節奏的治理投票、多簽確認和滯後的安全審計,很難給予對應的防禦回應。
上個月,Claude 背後的 AI 開發公司 Anthropic 正式公布了新一代模型 Mythos(詳見《Anthropic 搓出了史上最強 AI 模型,但不敢發布……》)。這是人類歷史上第一個總參數突破十萬億量級的模型(與之相對,當前市面上的主流模型參數量都在數千億到一萬億級別),訓練成本達到了驚人的 100 億美元。
然而,由於 Mythos 在網絡安全方面的特化能力(Anthropic 曾披露,該公司在短短幾周時間內使用 Mythos 便識別出了數千個零日漏洞),以至於 Anthropic 甚至不敢直接公開發布該模型,以防被黑客群體惡意利用,而是計劃先通過一個“玻璃之翼”計劃讓頭部大廠試用排查,提前修補潛在漏洞。
現階段的 DeFi 安全形勢依然如此嚴峻,很難想像 Mythos 公開發布之後,業界的安全布防將會遭遇什麼樣的新威脅。
對於普通的 DeFi 參與者、流動性提供者(LP)以及巨鯨而言,現在最重要的問題,是坐下來算一筆帳。
長期以來,用戶之所以選擇將資金存入 DeFi,追求的是高出傳統金融數倍的年化收益率。在牛市或流動性挖礦瘋狂的時期,10%、20% 甚至更高的收益足以覆蓋人們對“潛在技術風險”的心理預期。
**但在今天,這個底層邏輯早已被動搖甚至顛覆,DeFi 的風險收益比已然失衡。**收益端,隨著市場進入存量博弈,安全墊增厚,大多數主流、相對可靠的 DeFi 協議的真實收益率已經回落到個位數區間;風險一端,用戶的本金則暴露在一個隨時可能被 AI 攻破、被閃電貸瞬間清空的黑箱中,一旦協議遭遇黑客攻擊,代幣歸零、資金池被抽乾往往發生在幾分鐘之內,且沒有任何法律、保險或中央銀行能承保。
用本金丟失 100% 的風險,去博取差不多 5% 的年化收益,顯然不是一筆划算的買賣。
Manuel 的話或許有些絕對,但它撕開了 DeFi 最後的遮羞布。在黑客已將 AI 作為常規武器,業界安全事件不斷爆發的現實面前,如果你沒有做好為了一定收益而損失 100% 本金的心理預期,那麼“儘快撤資、落袋為安”,或許是當前市場週期下最理智、最符合風控原則的選擇。
4.44萬 熱度
125.6萬 熱度
1819.98萬 熱度
958.02萬 熱度
80.4萬 熱度
一線審計大神預警:所有DeFi都不安全,快撤!
原創 | Odaily 星球日報(@OdailyChina)
作者|Azuma(@azuma_eth)
“我認為所有 DeFi 都已不安全。”
OpenZeppelin 創始人 Manuel Aráoz 昨日在 X 上留下的這句斷言,像一個深水炸彈,再次衝擊了本就如死水一潭的 DeFi 市場。
Manuel 甚至表示,自己已開始建議親友從各大 DeFi 協議之內撤出資金,包括像 Aave、MakerDAO 和 Compound 這樣的曾被視作低風險的藍籌協議。
這並不是來自某個外行的危言耸聽。恰恰相反,Manuel 本人就是 DeFi 安全體系最核心的建設者之一,OpenZeppelin 則是行業最主流的安全審計公司之一,其合約庫、安全標準與審計框架,幾乎滲透了整個 DeFi 世界。
導致 Manuel 態度徹底轉向的原因,在於 AI。Manuel 悲觀認為,AI Coding Agent 在識別與榨取智能合約漏洞的能力正呈現指數級增強。
這意味著,過去需要頂級白帽團隊數周才能發現的問題,現在可能被 AI 在幾分鐘內掃描出來;過去黑客需要長期研究協議邏輯,現在可以直接由 AI 自動化分析攻擊路徑;過去 DeFi 的“公開透明”是優勢,現在反而變成了攻擊者最好的訓練語料庫。
Manuel 還提到了一個更致命的問題,智能合約安全本質上是一個極度不對稱的遊戲 —— 防守方必須修復所有漏洞,而攻擊方只需要找到一個,便足以竊取資金。在 AI 開始指數級強化攻擊效率之後,這種不對稱正在迅速失衡。
冰冷的現實:DeFi 已是黑客提款機
回看過去幾個月的 DeFi 安全事故,你會發現 Manuel 的擔憂並非誇張。
四月幾乎是 DeFi 歷史上最糟糕的一個月。
而進入五月之後,事故不僅沒有減少,反而進一步擴散。
高頻發生的安全事件已敲響了警鐘,從鏈上代碼到鏈下管理,DeFi 似乎正在全線失守。
AI 已成為黑客的核武器
為什麼 DeFi 攻防在今年夏天突現加速崩潰之勢?除了傳統的黑客技術演進外,AI 大模型能力的突飛猛進,正在成為打破平衡的終極砝碼。
在過去,尋找一個複雜的智能合約漏洞(尤其是涉及跨鏈、多層嵌套、或極其隱蔽的重入邏輯)需要頂尖黑客數周甚至數月的代碼梳理。然而,隨著具備超長上下文、強邏輯推理、以及具備自主工具調用能力的 AI 代理(Agents)的成熟,這一切發生了質變。
在這場 AI 加持下安全攻防中的戰爭中,黑客憑藉 AI 擁有了近乎無限的子彈和秒級的攻擊速度,而 DeFi 卻受限於慢節奏的治理投票、多簽確認和滯後的安全審計,很難給予對應的防禦回應。
上個月,Claude 背後的 AI 開發公司 Anthropic 正式公布了新一代模型 Mythos(詳見《Anthropic 搓出了史上最強 AI 模型,但不敢發布……》)。這是人類歷史上第一個總參數突破十萬億量級的模型(與之相對,當前市面上的主流模型參數量都在數千億到一萬億級別),訓練成本達到了驚人的 100 億美元。
然而,由於 Mythos 在網絡安全方面的特化能力(Anthropic 曾披露,該公司在短短幾周時間內使用 Mythos 便識別出了數千個零日漏洞),以至於 Anthropic 甚至不敢直接公開發布該模型,以防被黑客群體惡意利用,而是計劃先通過一個“玻璃之翼”計劃讓頭部大廠試用排查,提前修補潛在漏洞。
現階段的 DeFi 安全形勢依然如此嚴峻,很難想像 Mythos 公開發布之後,業界的安全布防將會遭遇什麼樣的新威脅。
最大問題:風險收益比早已失衡
對於普通的 DeFi 參與者、流動性提供者(LP)以及巨鯨而言,現在最重要的問題,是坐下來算一筆帳。
長期以來,用戶之所以選擇將資金存入 DeFi,追求的是高出傳統金融數倍的年化收益率。在牛市或流動性挖礦瘋狂的時期,10%、20% 甚至更高的收益足以覆蓋人們對“潛在技術風險”的心理預期。
**但在今天,這個底層邏輯早已被動搖甚至顛覆,DeFi 的風險收益比已然失衡。**收益端,隨著市場進入存量博弈,安全墊增厚,大多數主流、相對可靠的 DeFi 協議的真實收益率已經回落到個位數區間;風險一端,用戶的本金則暴露在一個隨時可能被 AI 攻破、被閃電貸瞬間清空的黑箱中,一旦協議遭遇黑客攻擊,代幣歸零、資金池被抽乾往往發生在幾分鐘之內,且沒有任何法律、保險或中央銀行能承保。
用本金丟失 100% 的風險,去博取差不多 5% 的年化收益,顯然不是一筆划算的買賣。
Manuel 的話或許有些絕對,但它撕開了 DeFi 最後的遮羞布。在黑客已將 AI 作為常規武器,業界安全事件不斷爆發的現實面前,如果你沒有做好為了一定收益而損失 100% 本金的心理預期,那麼“儘快撤資、落袋為安”,或許是當前市場週期下最理智、最符合風控原則的選擇。