「我认为所有DeFi都不安全。」2026年5月26日,OpenZeppelin联合创始人兼前CTO Manuel Aráoz在X平台发文,随即引爆整个行业。OpenZeppelin自2015年起为DeFi生态提供智能合约安全审计,是该领域最具权威的机构之一。让众多从业者坐立不安的,是Aráoz的下一句话:他建议家人和朋友撤出所有DeFi仓位,包括Aave、MakerDAO和Compound这些蓝筹协议。行业反弹几乎是即时的。
AI编程智能体打破了攻防平衡
Aráoz的逻辑根植于一个安全领域的古老不对称性:防守方必须堵住每一个漏洞,攻击方只需找到一个。过去,漏洞挖掘依赖人工安全团队,这场军备竞赛勉强可控。如今,AI编程智能体能够并行扫描数千份智能合约,不知疲倦,速度远超任何人工审计。这并非空谈。根据SpazioCrypto此前报道,Anthropic Fellows发布的研究报告模拟了针对模型从未见过的合约的共计460万美元漏洞利用攻击。当一个AI发现它此前未知的漏洞时,那个漏洞是真实存在的。
这条警告源于X平台上一篇数小时内病毒式传播的帖子。→ 阅读Manuel Aráoz (@maraoz) 2026年5月26日的原帖
Marc Zeller:「这话说得很蠢」
Aave Chan Initiative创始人Marc Zeller毫不客气。他认为这篇帖子毫无根据,理由就在数据里。根据Zeller援引的统计,过去一年DeFi损失中不足10%来自代码漏洞,其余均源于风险参数配置失当、抵押品管理不善以及薄弱的操作安全。换句话说,问题鲜少出在智能合约本身,更多在于谁持有密钥、谁设定限额、谁管理访问权限。OpenZeppelin官方也与Aráoz的个人观点保持距离。该公司指出,根据DefiLlama统计,2025年超过34亿美元的损失主要来自凭证泄露而非合约漏洞,并推出了Skills系统,为AI智能体提供经过验证的安全库知识,将防御关口前移。
DeFi 总锁仓量 2026年(十亿美元)
数据来源:DefiLlama · 2026年5月
数据来源:DefiLlama · 2026年5月
2026年,DeFi仓位还值得持有吗?
客观答案介于两者之间,数据能说明问题。据DefiLlama统计,过去365天内DeFi黑客攻击损失超过11亿美元。仅2026年4月一个月,至少27起漏洞利用事件就造成约6.3亿美元损失,是继Bybit事件以来最惨烈的月份。其中最大一笔是针对Kelp DAO跨链桥的2.92亿美元攻击,据报道归因于朝鲜Lazarus组织;此后Drift遭损失2.85亿美元,Step Finance损失2700万美元。根据DefiLlama数据,DeFi总锁仓量从约1720亿美元跌至1480亿美元。这一走势与乐观叙事背道而驰。实用原则仍然成立:Aave等拥有长期良好记录的协议溢价合理,新兴协议收益更高但风险也更高。硬件钱包的安全管理,始终是链上参与者的第一道防线。
核心数据
DeFi损失(过去365天).......... 超过11亿美元
仅2026年4月损失.............. 约6.3亿美元
4月漏洞利用事件数量........... 至少27起
Kelp DAO黑客(4月18日)....... 2.92亿美元
TVL变化(2026年1月至5月)..... 从1720亿跌至1480亿美元
代码漏洞占损失比例............. 不足10%(来源:Zeller)
数据来源:DefiLlama、Aave Chan Initiative · 2026年5月
有一个维度值得单独审视。即便Zeller的判断正确,代码漏洞占比不足10%,AI智能体的到来也恰恰将这个「10%」的技术层面彻底推向了攻击者一侧。Aráoz或许在结论上有所夸大,但方向判断未必有误。据行业观察,DeFi生态的生存之道在于三件具体的事:实时链上监控加自动暂停机制、大规模形式化验证,以及能在数分钟而非数小时内响应漏洞的治理机制。在此之前,风险不是偶发事故,而是架构性的存在。更多相关案例请参阅黑客事件专栏和DeFi分析,包括THORChain 1000万美元漏洞事件。
