一直在关注今年DeFi安全形势的发展，老实说看起来相当严峻。我们甚至还没有度过2026年的一半，数字已经令人震惊——仅在前几个月，就有超过1.37亿美元被盗，涉及15个不同的协议。更糟糕的是，只有900万美元被找回。这是传统银行都难以接受的回收率，更不用说一个本应是无需信任、透明的行业了。

损失分布在一些相当知名的项目中。Step Finance遭受最大打击，损失了2730万美元，原因是一把私钥被泄露。Truebit紧随其后，因智能合约漏洞损失了2620万美元。然后是Resolv，通过铸币缺陷损失了超过2500万美元，而SwapNet则通过任意调用漏洞流失了1340万美元。这些都不是小项目被搞垮——它们都是人们实际使用的协议。

令人沮丧的是，这些攻击大多本不应该发生。私钥泄露？那是操作安全的基础知识，不是什么尖端的漏洞。预言机操控和重入漏洞？这些漏洞多年来都有明确的防御措施。它们还能继续被利用，说明行业没有从错误中吸取足够的教训。还有逻辑缺陷、验证失败、供应上限问题——这些都是安全研究人员从DeFi早期就一直在警告的问题。

YieldBlox DAO实际上成功挽回了720万美元的损失，总损失为1100万美元，这是唯一一个追回了有意义资金的协议。名单上的其他项目——SagaEVM损失700万美元，Makina损失500万美元，IoTeX损失440万美元，Aperture Finance和Venus Protocol各自损失370万美元——基本上都没有运气了。

如果这种趋势继续下去，2026年可能会成为DeFi安全史上最糟糕的一年之一。新协议不断上线，却没有进行充分的审计，攻击面比任何人预料的都要扩大得更快。在短短三个月内损失达1.37亿美元，回收率仅6.5%，很难让人相信行业的安全基础设施已经到位。对于一个建立在无需信任的承诺上的行业来说，这样的局面令人相当不安。