DeFi投资的安全警告
随着OpenZeppelin联合创始人Manuel Aráoz表示他已建议朋友和家人退出所有去中心化金融(DeFi)投资,尤其是主要借贷协议的风险,数字货币的安全问题愈发引人关注。在周二发布的一篇帖子中,Aráoz表示,他不再认为“所有DeFi”都是安全的,认为攻击者与防御者之间的平衡已过于倾斜,攻击者的优势过大。
智能合约的安全现状
“公共服务公告:我现在认为所有DeFi都是不安全的。编码者在发现漏洞方面已超越人类,而智能合约的安全性过于不对称:防御者需要修复每一个漏洞,而攻击者只需找到一个漏洞就能窃取资金。”
Aráoz描述了当前智能合约安全的现状,指出编码者已变得“超人般擅长发现漏洞”,而开发者则被困在一个系统中,“防御者需要修复每一个漏洞,而攻击者只需找到一个漏洞就能窃取资金。”
DeFi漏洞的严重性
“我一直在私下建议朋友和家人退出所有DeFi投资,包括像Aave、MakerDAO和Compound这样的低风险‘蓝筹’项目,”他补充道。Aráoz的评论正值加密行业正经历自2025年2月15亿美元Bybit黑客事件以来,DeFi漏洞最严重的时期。
根据DefiLlama的数据,仅在四月份,就有大约6.297亿美元从DeFi协议中被盗,使其成为一年多以来加密相关黑客事件最严重的月份。其中两起攻击占据了大部分损失。在最大的事件中,Drift Protocol损失了约2.85亿美元,攻击者据称通过持续六个月的社交工程活动实施攻击。
Kelp DAO也遭遇了与其跨链桥基础设施漏洞相关的2.93亿美元的攻击。安全研究人员和区块链调查人员广泛将这两起攻击与朝鲜国家支持的黑客组织联系在一起。
DeFi协议的锁定价值下降
DefiLlama记录了四月份的27起DeFi漏洞事件。同时,DeFi协议的总锁定价值从四月中旬的近1720亿美元下降了约14%,降至约1480亿美元。损失的集中主要来自于桥接相关的弱点、特权访问失败和操作失误,而不仅仅是孤立的编码错误。
持续的安全事件
除了两起最大的泄露事件外,几起较小的攻击在整个四月继续影响协议。正如crypto.news之前报道的,Wasabi Protocol在以太坊、Base、Blast和Berachain网络上损失了约550万美元。在此期间,移动赚取平台Sweat Economy也报告了约346万美元的损失,攻击者在不到30秒的时间内抽走了近65%的流动性池。
该项目后来表示,一些被盗资产已在MEXC上被冻结,恢复工作仍在继续。
“我们很高兴地确认,所有外部账户余额已完全恢复,运营已恢复正常。我们非常感谢社区的支持和建议,帮助我们迅速解决了这个问题。”
与此同时,在Sui区块链上,去中心化交易平台Aftermath Finance在其永续合约平台上损失了近110万美元的USDC。区块链安全公司Blockaid表示,攻击者在大约36分钟内进行了11笔交易。Blockaid检测并标记了一个活跃的漏洞,USDC在约36分钟内通过11笔交易被抽走,攻击者地址为0x1a65086c85114c1a3f8dc74140115c6e18438d48d33a21fd112311561112d41e。
未来的安全挑战
尽管五月份的损失未达到四月份的规模,但DeFi领域的安全事件仍在持续。最近的案例中,Verus Network的以太坊桥被攻击,损失达1160万美元。预测市场平台Polymarket上周也披露了一起573,200美元的泄露事件,该公司表示可能涉及与内部充值钱包相关的私钥被泄露。
