4月1日愚人节当天,Drift Protocol因管理密钥泄露和多重签名执行漏洞遭到攻击,导致 2.8 亿美元被盗。随后,4月19日,Kelp DAO通过桥接协议遭到攻击,损失达 2.92 亿美元。黑客随后利用 Aave 等渠道逃脱,使整个 DeFi 领域陷入违约及其连锁反应。
进入5月后,安全事件不仅没有减少,反而进一步升级。5月15日,THORChain 遭受攻击,一名新加入的节点运营商利用 GG20 门限签名方案(TSS)中的漏洞,导致损失超过 1000 万美元。5月18日,Verus 的桥接协议遭到攻击,攻击者伪造跨链导入有效负载以绕过验证并从 Ethereum 储备中提取资产,卷走了约 1158 万美元。
5月19日,Monad 上的 Echo Protocol 因私钥泄露而遭到攻击,攻击者铸造了价值 7670 万美元的 1000 eBTC。5月24日,MiCA 监管框架下的合规稳定币发行商 StablR 遭到攻击,黑客通过铸造 EURR 和 USDR 获利超过 280 万美元。5月25日,SquidRouter 模块遭到攻击,导致约 300 万美元从 86 个 Gnosis Safe 钱包中被盗。5月27日,Arbitrum 上 StakeDAO 的部署密钥遭到泄露,导致铸造了约 5.45 万亿个 vsdCRV 代币。频繁发生的安全事件引起了人们的担忧,表明从链上代码到链下治理,DeFi 似乎正受到全面攻击。
AI 已成为黑客的核武器。今年夏天,DeFi 安全为何如此迅速地崩溃?除了传统黑客技术的演变之外,AI 能力的快速发展正成为颠覆格局的终极因素。过去,找到一个复杂的智能合约漏洞需要顶级黑客花费数周甚至数月的时间。然而,随着拥有广泛上下文知识、强大的逻辑推理能力和自主工具调用能力的 AI 代理的成熟,一切都发生了巨大的变化。
攻击者现在可以使用 AI 进行实时扫描和全网“零日漏洞”发现、自动化攻击脚本生成以及链下 DevOps 和社会工程编排。在这场 AI 赋能的安全军备竞赛中,掌握 AI 的黑客拥有几乎无限的弹药和毫秒级的攻击速度,而 DeFi 却受到缓慢的治理投票、多重签名确认和延迟的安全审计的限制。
上个月,Claude 背后的 AI 开发公司 Anthropic 正式发布了名为 Mythos 的新一代模型。这是人类历史上第一个突破万亿参数大关的模型,训练成本高达 100 亿美元。由于 Mythos 在网络安全方面的专业能力,Anthropic 不愿直接向公众发布该模型,以防止黑客组织恶意利用。相反,该公司计划首先通过“Glasswing”计划让顶级公司对其进行测试,以提前识别和修补潜在的漏洞。
目前的 DeFi 安全形势仍然非常严峻,很难想象在 Mythos 公开发布后,该行业的安全防御将面临哪些新的威胁。对于普通的 DeFi 参与者、流动性提供者 (LPs) 和巨鲸来说,现在最重要的问题是坐下来算一算。长期以来,用户选择将资金存入 DeFi,以追求比传统金融高出数倍的年化收益率。然而,今天,这种底层逻辑即使没有被颠覆,也已经动摇;DeFi 的风险回报率已经失衡。
在回报方面,大多数主流、相对可靠的 DeFi 协议的实际收益率已降至个位数。在风险方面,用户的本金暴露在一个可能随时被 AI 攻破的黑匣子中。冒着 100% 本金损失的风险来追求约 5% 的年回报率显然是不划算的。由于黑客现在使用 AI 作为标准武器,如果您没有心理准备为了一定的回报而损失 100% 的本金,那么“尽快撤回并保护您的资金”可能是当前市场周期中最理性且风险可控的选择。
[律动]
AI驱动的DeFi安全崩溃:市场分析与战略影响
最近一系列引人注目的DeFi黑客攻击事件,不仅仅是一系列孤立事件,更是网络安全领域根本性的范式转变,使天平明显倾向于攻击者一方。从4月Drift Protocol的2.8亿美元漏洞到5月StakeDAO的1158万美元利用,模式清晰可见:AI已成为恶意行为者的核武器选项,使传统安全措施日益过时。
市场影响评估
这些漏洞累积的影响远不止于单个协议的损害。我们正在见证对DeFi核心价值主张——在保持安全性的同时产生收益——的系统信心侵蚀。市场正处于一个拐点,风险回报计算已从根本上转向不利于寻求收益的参与者。
这一趋势可能会引发市场对DeFi代币更广泛的重新评估。随着投资者在投入资本前要求更多保障,安全性脆弱的协议面临生存威胁。我们预计性能将出现分化:拥有明显 superior 安全基础设施的协议可能表现更好,而立场较弱的协议可能面临大幅贬值或消亡。
AI军备竞赛:新的交战规则
AI能力的加速发展是一个游戏规则改变者,传统安全框架无法充分应对。曾经需要精英审计师数周手动代码审查的工作,现在只需几分钟就能由具备情境分析、逻辑推理和自主工具调用能力的AI代理完成。
Anthropic的Mythos模型的发展——一个拥有万亿参数、100亿美元AI投资——进一步强调了这一威胁的规模。一旦完全运行,这类模型能够以前所未有的速度和复杂性识别漏洞,可能使最近经过审计的代码在部署后几小时内变得易受攻击。
对于机构投资者而言,这创造了一个无法通过传统手段缓解的新风险向量。攻击者(不受约束、资金充足且AI增强)与防御者(治理受限、预算有限且依赖人力)之间的不对称性已达到不可持续的水平。
风险重新评估:追逐收益的终结
文章的核心论点——DeFi中的风险回报比率已从根本上失衡——值得认真考虑。当个位数的收益率与因AI增强攻击导致本金完全损失的非零概率并置时,传统的DeFi价值主张开始瓦解。
对于流动性和鲸鱼投资者来说,这需要对资本配置进行战略重新评估。在没有严格安全分析的情况下盲目追逐收益的时代已经结束。投资者现在必须将”AI漏洞风险”作为投资组合构建的主要考量因素,可能将更多资本配置到拥有更成熟安全基础设施的CeFi平台,或配置到具有增强监督的合规解决方案。
新格局中的战略机遇
在这场混乱中,出现了几个有希望的机会:
-
AI驱动的安全解决方案:随着协议竞相匹配攻击者的复杂性,开发防御性AI能力的公司将看到需求增加。
-
增强的保险机制:随着协议和用户认识到损失缓解策略的必要性,DeFi保险产品的可行性将提高。
-
监管套利:像StablR这样的MiCA合规解决方案可能获得竞争优势,因为监管监督提供了额外的安全保障。
-
专业审计公司:随着传统方法变得过时,开发具有AI抗性的审计方法的公司可能获得显著市场份额。
-
以安全为重点的协议:将安全作为核心差异化因素而非事后考虑的项目可能成为市场领导者。
结论:适应新常态
当前的DeFi安全危机不仅仅是一个周期性低迷——它标志着一个时代的结束,在那个时代,安全被视为次于收益生成的次要考虑因素。对于投资者来说,最理性的反应确实是重新配置资本,但这不应被解读为完全退出DeFi,而是向更复杂的安全意识投资策略的战略转变。
随着行业等待Anthropic的Mythos模型的潜在发布,有一点是肯定的:AI增强的攻击者与DeFi防御者之间的军备竞赛将加剧。未能适应的协议可能面临消亡,而那些拥抱安全优先理念的协议将在AI后的格局中变得更加强大。市场参与者的问题不是是否参与DeFi,而是如何睁大眼睛面对AI驱动的安全威胁这一新现实。