近期加密貨幣界再度上演了一次慘痛的教訓,暴露去中心化金融的脆弱性。
BunniDEX,一個建立於Uniswap v4創新hooks架構上的去中心化交易所,眼白白看著攻擊者從其以太坊及Unichain的流動性池中盜走了840萬美元的資金。短短數小時內,一個原本吸納了6,000萬美元資產的協議,因為一個邏輯層面的漏洞而幾乎變得資不抵債,發展軌跡徹底終結。
攻擊本身精確至極。據區塊鏈安全公司Halborn表示,攻擊者運用了高階閃電貸結合細密操控Bunni的Liquidity Distribution Function。他先借入USDT,再兌換為USDC調整即時價格tick,然後利用流動性池中的四捨五入誤差,大幅減少流動性,同時提取遠超應得數額的資產。在其中一個池,流動性由28 wei跌至僅4 wei——減幅高達85.7%,令攻擊者可以非法大量提現。
令人心驚的是,Bunni其實已經做足準備。協議先後由兩間著名安全公司——Trail of Bits及Cyfrin進行審計,但二者均未發現這個關鍵問題。Bunni團隊其後承認,漏洞是屬於「邏輯層問題而非執行錯誤」——這種錯誤往往難以被傳統代碼審查發現,但其後果卻可致命。提現功能中的四捨五入錯誤,運作方向與開發者預期相反,不但沒增加閒置餘額,反而減少,令攻擊成為可能。
到2025年10月23日,Bunni宣布永久關閉。團隊無法負擔安全重啟所需的六至七位數資金,包含全面的審計和監控系統。在關閉聲明中指出:「今次漏洞已令Bunni發展完全停止,若要安全重啟,我們僅審計和監控開支就需六至七位數,這筆資本我們根本沒有。」
這引發一個2025年整個DeFi生態憂心的根本問題:若一個經過詳細審計、技術先進、由熱誠團隊打造的協議都能被單一邏輯錯誤擊潰,去中心化金融又怎能真的做到安全?為何數年來,繼續出現這些造成數十億損失的攻擊?
危機規模
Bunni的結局並非個別事件,而是2025年特別危險一年裡一個令人憂慮的常見模式。據Hacken 2025年Web3安全報告指出,2025年上半年加密行業因駭客及詐騙已損失超過31億美元,這一數字已超過2024年全年的28.5億美元。
對DEX的攻擊尤為嚴重。CertiK 2025年第三季分析發現,雖然總損失較上一季度下降37%至5.09億美元,但DeFi項目和交易所依然是主要目標。中心化交易所損失1.82億美元,但DeFi協議亦在Q3僅僅損失8,600萬美元。
數據清楚顯示生態系統正面臨襲擊。Hacken團隊指出,接入控制漏洞佔2025年上半年所有損失的59%,約為18.3億美元。智能合約漏洞佔8%,達2.63億。這使得2025年上半年成為自2023年初以來智能合約攻擊最昂貴的時期。
更令人擔心的是,攻擊事件出現明顯加速。2025年9月錄得有史以來最多單月千萬美元級別漏洞——16宗損失均達百萬美元以上。即使部分協議已改善保安措施,駭客依然以驚人速度找到新漏洞。
若與往年比較,2025年顯示出進展但危機未除。DeFi攻擊損失最高峰為2022年,損失超過37億美元。之後在2023及2024年改善,損失降至每年20至30億區間。但2025年僅半年已達31億,趨勢似乎又逆轉。
這些抽象數字背後,是一個個真實受害者。每次漏洞都令流動性提供者、交易者及投資者蒙受損失。以KyberSwap漏洞為例,有2,367名用戶受影響,都說明集中攻擊對社群信任與財產的摧毀。
漏洞剖析:失效代碼案例
要理解DeFi安全性為何持續難以保障,必須檢視協議失效的實際機制。下述案例揭示了重複出現的模式——閃電貸、預言機操控、重入攻擊、存取控制失效及邏輯錯誤——共構成了行業的安全威脅。
Bunni DEX(840萬美元,2025年9月)
如上所述,Bunni的漏洞源於提現邏輯中的四捨五入方向錯誤。攻擊者運用閃電貸、微型提現及三明治攻擊策略,將協議原本為提高手續費回報而設的新型Liquidity Distribution Function反變為阿基里斯之踵。這證明前沿DeFi創新一旦數學假設出錯,便會帶來意想不到的攻擊路徑。
Curve Finance(6,900萬美元,2023年7月)
Curve Finance漏洞可謂DeFi史上最具技術含量的攻擊之一。問題非出於Curve代碼,而是底層Vyper編譯器。Vyper 0.2.15、0.2.16及0.3.0版本的重入鎖有嚴重缺陷,令攻擊者可以同時呼叫多個功能。
諷刺的是,Vyper本意是比Solidity更安全。Hacken的分析指,這個編譯器層漏洞自2021年7月出現,卻近兩年未被察覺。雖2021年12月Vyper 0.3.1已修復漏洞,但直到2023年7月才知舊版本已構成災難性風險。
Curve事件還波及JPEG'd、Metronome、Alchemix等多個協議。CertiK安全公司指出,合共6,900萬美元資金被提走,佔2023年重入攻擊損失的78.6%。驚恐下Curve的鎖倉量一天內幾乎腰斬至15億美元。
此案最大啟示,是屬於「語言層級」漏洞——即編程語言本身出錯,而非開發者。這帶來駭人可能:就算代碼完美,底層開發工具只要出問題都會遭殃。
KyberSwap(4,800萬美元,2023年11月)
Ambient交易所創辦人Doug Colkitt評KyberSwap漏洞為「見過最複雜、最工整的智能合約攻擊」。駭客利用KyberSwap Elastic集中式流動性特性,創出所謂的「無限金錢漏洞」。
挑戰點在於swap機制兩步的價格預估與正式價格計算不一致。據Halborn分析,當交換額恰好等於amountSwapToCrossTick減一時,四捨五入誤差便會導致池定價不準,違反nextPrice必須小於等於targetPrice的假設,最終令流動性無故倍增。
攻擊者首先將ETH/wstETH價位拉向沒什麼流動性的範圍,然後在極小價差內鑄造微量流動性,接著進行兩次核心swap。第一次以1,056 wstETH換少量ETH,墜價。接著反向操作,買回3,911 wstETH,比最初賣出多得多。池將原LP持倉的流動性重複計算,令攻擊能成功。
KyberSwap雖在computeSwapStep中設有failsafe防禦這類攻擊,但區塊鏈安全研究人員發現,攻擊者特意構造交易,巧妙避開觸發條件。 this protection. This precision engineering underscores how sophisticated attackers have become.
這種防護措施及精密工程,突顯了攻擊者水平之高及手法之精密。
Euler Finance ($197M, March 2023)
[Markdown link skipped] stands as 2023's largest DeFi exploit. Euler,一個以太坊上的無許可借貸協議,因其 donateToReserves 功能缺乏適當的流動性檢查而遭受攻擊。
這次攻擊過程極為複雜。攻擊者首先透過 Aave 進行閃電貸款借入三千萬 DAI,再將兩千萬 DAI 存入 Euler,獲得約一千九百六十萬個 eDAI 代幣。利用 Euler 的 mint 功能,攻擊者以高槓桿重覆借入自己存款額的十倍——這本來是為高效運用槓桿而設,但結合「捐贈」機制時卻成為可被利用的破口。
關鍵一步是攻擊者向 Euler 的儲備捐贈一億 eDAI,而協議並未妥善驗證,導致出現超額抵押債務。當攻擊者自我清算倉位後,取得三億一千萬 dDAI 與兩億五千九百萬 eDAI。攻擊者然後提取三千八百九十萬 DAI,再連本帶利歸還閃電貸,單是 DAI 池已獲利約八百九十萬美元。這套操作在多個池輪流複製,最終合共盜走一億九千七百萬美元。
[Markdown link skipped] 指出兩大核心失誤:一、donateToReserves 未檢查流動性,導致權益及債權代幣遭操控;二、健康分數機制容許資不抵債帳戶獲得額外抵押品。曾審核該程式碼的審計公司 Sherlock 坦承責任,並同意賠償 Euler 四百五十萬美元,彌補當初未揪問題。
意外地,最終攻擊者將所有資金歸還,並透過鏈上加密訊息致歉。這種罕見處理手法,卻無法淡化協議本身存在的嚴重安全漏洞。
GMX v1 ($40M, July 2025)
[Markdown link skipped] 展示出,即使是「第一代」協議,推出多年後仍可能有漏洞。今次攻擊針對 GMX 在 Arbitrum 上的流動性池,利用其 GLP 代幣價格計算方式的設計缺陷。
[Markdown link skipped] 指出根本原因:GMX v1 一開空倉即刻更新「全域空單均價」,直接影響資產管理規模(AUM)計算,出現可被操控空間。攻擊者透過重入攻擊設定大額空倉,影響全域均價,於單一交易中人為地推高 GLP 價格,再以贖回方式套現。
這種重入漏洞,被區塊鏈專家 Suhail Kakar 形容為「最古老的招數」,絕非表層,而是根本性問題。攻擊者誘使合約誤認未有提款,反覆鑄造代幣而無需足額抵押。
GMX 應對夠創新——並不止於法律追討,更主動向攻擊者提出「白帽賞金」計劃,在四十八小時內歸還被盜資金九成,即可獲取一成(約五百萬美元)獎勵。這招奏效,攻擊者透過鏈上訊息答覆:「OK,稍後會還錢。」短時間內資金陸續歸還,到事件結束時因比特幣及以太升值,實際追回金額還略高於損失。
這案例反映新趨勢——協議方愈來愈傾向把高技術攻擊者視為潛在「灰帽」,以經濟誘因代替單純法律威嚇。
Balancer (August 2023, $2.8M at Risk)
Balancer 於 2023 年 8 月遇上另類情況——接近於巨大損失但最終「有驚無險」。當 [Markdown link skipped],開發團隊即時發出警告及風險緩解措施,成功保護 95% 涉事流動性池,用戶資產安全,但尚有 280 萬美元(佔總鎖倉值 0.42%)未完全防護。
雖發出連串警號與詳細提現指引,但最後仍有攻擊者 [Markdown link skipped],得手約 90 萬美元。攻擊者利用閃電貸,攻擊未被修補的流池。[Markdown link skipped] 指所有受影響地址總損失超過 210 萬美元。
Balancer 在社群中廣受好評。加密研究員 Laurence Day 稱其「關鍵漏洞公開示範的模範」。但事件亦揭示令人側目的事實——即使通訊充足、反應神速,一旦漏洞存在,仍無法百分百保障資產安全。
Additional Notable Exploits
類似事件繼續多發:
Cetus ($223M, 2025): 正如 [Markdown link skipped],Cetus 成為 2025 年單一最大 DeFi 盜竊案,僅 15 分鐘損失 2.23 億美元,因流動性計算的溢出檢查漏洞被利用。這案佔當季 DeFi 損失總額三億美元大部份。
Cork Protocol ($12M, 2025): 同一份 Hacken 報告指出,Cork 的漏洞由於開發團隊更改 Uniswap V4 beforeSwap hook 的預設權限,攻擊者能利用不完善的訪問權限檢查,注入惡意數據,盜取一千二百萬美元。
Orbit Chain ($80M, December 2023): 此跨鏈資產橋及 DEX 整合失誤,突顯多鏈協議複合型風險。攻擊因多重簽名錢包受損導致巨額資產被盜。
SushiSwap Router ($3.3M, April 2023): 公開方法被濫用,未經授權即能存取路由邏輯,證明微小存取控制疏漏亦可造成高昂損失。
Uranium Finance, Radiate Capital, KokonutSwap: 這些規模較小協議都不幸中招——流動性管理邏輯缺陷、參數驗證不足、權限控制不力,遭攻擊者連番得手,累計損失以百萬美元計。
Why Audits Keep Missing the Real Threats
Bunni 漏洞凸顯 DeFi 最令人沮喪的矛盾——即使經過多輪專業審計,協議仍可發生災難性失誤。想明白箇中關鍵,必須了解審計實際負責什麼、更重要是不能做到什麼。
傳統智能合約審計,重點在於語法層漏洞:重入風險、整型溢出/下溢、未受保護的函數、Gas 優化、最佳實踐等。審計員逐行檢查程式碼,對照常見風險清單如 Smart Contract Weakness Classification Registry 等資料庫。這類工作主要針對「執行層」。
語義層漏洞——如 Bunni 的四捨五入錯誤——屬於更高層次的邏輯錯誤。這些 Bug 往往在程式「完全按設計執行」時才出現,在特定場景下導致預期之外的結果。Bunni 的 withdraw 函式在執行層面沒問題,但其實運作模式完全違背開發者的經濟模型假設。
[Markdown link skipped],均是區塊鏈安全界極高聲望的機構,Trail of Bits 曾審計 Uniswap、Compound、Maker 等大協議。未能揭示 Bunni 潛在問題,並非審計失誤,而是行業內在方法論限制。
審計效能局限於數個主因:
時間與資源受限:全面審計成本動輒 $40,000-$100,000,美國專業審計員需時 2-4 星期。像 Bunni 這種具創新設計的複雜協議,若要涵蓋所有邊界情境,動輒需數月、開支超出台前預算。審計總需在深度與經濟效益間折衷。
新架構風險:Bunni 是基於 2024 年底新推出的 Uniswap v4 hooks 系統設計。缺乏現成資料作參考,審計員難以預測新架構潛在危機。創新設計,必然提高未知風險。
規格不明確:審計員只能核對「程式有否照說明書執行」。若規格本身有邏輯謬誤或未定義清楚邊界狀況,就算程式碼無誤審計,也無法防範根本設計疏忽。Bunni 的流動性分配設計雖為追求最優回報,但規格本身未全盤考慮極端情形的四捨五入效應。
可組合性難題:DeFi 合約牽涉大量外部組件——價格預言機、第三方協議、治理機制。審計絕大多數情況下只檢查單一合約,而非「所有可能互動組合」。最致命漏洞,經常於正規功能之間的意外交互出現。
這也引申出「審計戲碼」現象——即項目方將審計報告高調展示作推廣,但內裡仍藏有被人利用的關鍵漏洞。[Markdown link skipped],約 60% 重大漏洞事件都發生在至少被審計過一次的協議。審計證書成為「虛假安全感」,並非真正保障。
DeFi 行業中競爭壓力又放大上述缺陷——「搶先上市」環境下,各個項目都承受住壓力,要盡快上線,搶在競爭對手前面。每拖延一星期,可能就損失咗市場份額同埋鎖倉總價值(TVL)。但長時間、全面嘅安全審查,往往同呢種緊急節奏有衝突。
試下諗吓誘因唔對等問題:審計費用可能只係十萬美元,但一次攻擊嘅平均損失就超過一千萬至三千萬美元。理性嚟講,項目理應要重投資安全。不過,行為經濟學告訴我哋,現實唔係咁。創辦人好多時過份樂觀,自我感覺良好,以為自己啲程式碼「特別安全」、黑客唔會針對自己,或者覺得快啲疊代勝過細緻準備。
Vyper 漏洞摧毀咗 Curve,反映供應鏈安全嘅另一層面。即使協議開發者自己寫到完美無缺、審計都做得好徹底,如果編譯器、library 或者開發工具有漏洞,之前所有努力都等於白做。咁樣會產生一種「假安全感」,開發者同審計師都以為碼冇問題,只因為自己範圍查過冇嘢。
不安全經濟學
要明白 DeFi 點解安全問題持續爆發,就要分析背後誘使高風險開發嘅經濟動力。
「搶快疊高 TVL」心態係 DeFi 文化主流。鎖倉總價值成為協議能否成功嘅關鍵指標,直接影響Token價格、用戶信心同市場排名。協議必須透過高息、嶄新功能、進取市場推廣來吸引流動性。安全,最好情況係「看不見,出事才知」。如果促使嚴格測試要六個月,但競爭者已經上線搶走市場份額,你好容易會被逼犧牲安全換取生存。
結果會出現「反選擇」效應:保守重視安全嘅項目,長期都未必吸引到足夠 TVL 而生存落去;反而果啲「快快上線、出事再算」的激進項目最易吸客。市場成效上,保守會被懲罰,冒險就得到獎勵——直到爆出攻擊。
組合性本來是 DeFi 強項,但喺咁嘅環境下反而變成阿喀琉斯之踵。現代協議好多都會用外部價格 oracle(例如 Chainlink)、向 Aave 或 Compound 借流動性、再經 Uniswap 路由、同幾十個系統互動。每一個整合點都即係加多個潛在攻擊面。同一體系入面只要一個協議出事,成個 DeFi 生態鏈就被牽連。
Euler 被黑連環波及 Balancer、Angle 同 Idle Finance 就係最好例子。Balancer 嘅 Euler Boosted USD 池損失咗一千一百九十萬美元——佔TVL 65%,雖然 Balancer 自己嘅code係安全。Angle 有一千七百六十萬 USDC 被困喺 Euler,Idle Finance 都蝕咗四百六十萬。一個協議爆漏洞,令成個 DeFi 網被拖累。
開發者根本進退兩難。自己開發就失去組合性同功能;要跟外部渡,所有連接協議嘅風險都要你扛。冇安全可言,只有「危險程度」之分。
守防同攻擊經濟結構極度唔對等。協議要預防所有可能攻擊向度,數百萬行代碼加無窮互動。攻擊者只要搵到一個漏洞就夠。守方要長期付出巨額開發、審計、監察成本;攻方只需一次努力就搵到可觀回報。
即時貸款(flash loan),例如喺 Aave、dYdX,都大大降低攻擊資本門檻。以前要攻擊,黑客一開始要有大筆加密貨幣,或者要借。但家下 flash loan 一個交易就可以攞到幾百萬流動性,成本極低。只要交易完成前還錢,攻擊基本上係免費試。
根據 Halborn《2025百大 DeFi 攻擊報告》,2024 Flash loan 攻擊佔所有黑客事件中 83.3%。2025年呢個趨勢繼續。這技術令 exploit 從高資本、專業行為變成只要識寫 smart contract、有想法嘅開發者都能嘗試。
期望值計法,攻擊者遠遠勝出。諗下:審計成本平均每次四萬至十萬美元;平均一次 exploit 損失一千萬至三千萬美元。好多協議甚至連最基本嘅審計都未必負擔到。相反,攻擊成功可以幾分鐘內攞走千萬,前期投資幾乎零。
呢個失衡反映市場失效。安全屬於公共財——開放協議大家都受惠,但個別項目未必有誘因幫全行業買單。安全投資較重嘅協議,變相補貼咗 free-rider 抄足你條code但無咁嘅成本。最後就「公地悲劇」,大家長期都唔肯投資安全,即使有幾多嚴重損失都唔變。
Flash Loan 悖論
Flash loan 可能係 DeFi 安全最吊詭嘅產物:一個核心基建同時成為引致最大災難嘅利器。
Flash loan 本質係一種唔需要抵押、要同一個鏈上交易內借完即還嘅貸款。若還唔到,就 roll back,全無 default 風險,但借款人瞬時控制大額資本。
合法用途多多。套利者用 flash loan 去修補不同交易所嘅價格落差,提升市場效率。交易員可以重新安排行pos,把抵押物搬到更筍的平台。開發者可以實測清算流程或者壓力測試協議,毋須用自己真金白銀。全部推動咗 DeFi 組合性同資本效率。
但同一套邏輯造就咗攻擊者嘅天堂。一般 flash loan 黑客流程大概如下:
第一步 - 借貸:攻擊者喺 Aave、dYdX 借走上百萬 Tokens,只需支付細少手續費(一般 0.09% 或更少)。
第二步 - 操控:同時利用大額資本操控目標協議——例如歪曲價格 oracle,抽乾流動池,或者利用重入漏洞。
第三步 - 提取:以上操作令攻擊者非法提款或者做有利 swap,將收益攬入口袋。
第四步 - 還款:最後歸還原數連同手續費,將攞到嘅錢袋走。
整個過程:全部發生喺一個交易入面,往往數秒完成。只要一個步驟出事,交易會被還原,攻擊者唔洗承擔損失。
Bunni 被 hack 就係經典案例。攻擊者用 flash loan 借大額代幣,操縱池價,連續withdraw(利用四捨五入誤差),最後還款套現 840 萬美元。傳統金融冇可能——想像下,有銀行畀你免費用三千萬美元試打劫,如果失敗一切沒發生過。
Chainalysis 研究 Euler 攻擊,指出 flash loan 如何令不可能 exploit 變可能。攻擊者需要三千萬臨時資本操控 Euler 借貸比例。冇 flash loan,要有咁多資金要嘛極度有錢,要嘛清洗過前次黑錢。依家門檻基本係零。
悖論在於:如果禁止或者大幅收緊 flash loan,DeFi 核心精神會被破壞、合法應用都會冇咗。Flash loan 令市場原子級套利、資本流動極速。冇咗它會令流動性碎片化,同步失去 DeFi 革新本質。
但由於flash loan存在,即使 exploit 需要天價資本,技術力夠嘅攻擊者都做得到。此技術徹底民主化咗創新同攻擊資本,權力平等。
部分協議試過走中間路線。例如加 flash loan 延時,要借款人持有幾個 block;雖然防止原子攻擊,同時又殺死咗套利機會。有啲用白名單,只有已知用戶可以用,但違反 DeFi 無需許可原則。有啲出 circuit breaker,遇到極端波動就凍結池,以免損失,但又有機會誤傷正常用戶體驗。
Aave 文件都講 flash loan 係「功能強大」但「應小心使用」。其實件事本身中立,視乎用家做乜。DeFi 冇可能取消 flash loan,因為有其正面價值。協議設計必須假設,只要有機會動用無限資本,遲早都有人試。
嘗試重塑 DeFi 安全
意識到問題無法根治,DeFi 近年陸續實驗新安全方法,比傳統審計再行前一步。
即時威脅監察
Forta Network 就係最前沿嘅持續監控例子。唔再只係部署前審code,Forta 使用去中心化的安全機械人網絡,實時監控區塊鏈交易,尋找可疑模式。當有異常活動發生——例如一筆閃電貸款後跟隨著池子的快速資金抽走——Forta 的機械人會觸發警報,通知協議團隊和用戶。
這種做法承認漏洞是必然存在的,重點放在能否迅速偵測和回應。如果可以在幾秒或幾分鐘內發現利用,而不是幾小時之後,協議便可以暫停操作,減少損失。現時已有多個協議把 Forta 監控納入為標準安全層。
挑戰在於怎樣區分惡意活動與合法但罕見的使用情況。太多誤判導致不必要地暫停協議操作,會損害用戶信任和功能性。因此,偵測演算法需持續調校,因為攻擊者亦在不斷進化他們的手段。
緊急斷路裝置與暫停守衛
現代智能合約愈來愈多加入「暫停」功能,當偵測到異常時能凍結操作。這些緊急斷路裝置可以由協議團隊手動觸發,或者根據預設閾值自動執行——如異常交易量、流動性急劇變化,或模式識別顯示有攻擊發生。
GMX 在遇到安全事故時的回應,就是偵測到問題後,立即暫停受影響的功能。雖然這無法阻止最初的損失,但成功制止了進一步破壞,並給了團隊時間與攻擊者協商。緊急斷路裝置可將協議從全面失效,變成受控事件。
弊端是出現中心化。暫停功能需要有授權的信任角色能隨時叫停協議運作,這和 DeFi 去信任的理念出現矛盾。如果暫停權限被惡意人士奪取,協議可能被凍結來操控市場或勒索用戶。如何在安全與去中心化之間取得平衡,仍未有完美解決方法。
基於 AI 的異常偵測
人工智能和機器學習在安全上大有可為。通過以歷史漏洞數據和正常協議行為訓練模型,AI 系統能發現人類分析師或傳統規則系統難以察覺的可疑交易。
Hacken 的 2025 年報告指出 AI 相關攻擊暴增 1,025%,同時亦強調 AI 作為防禦有很大潛力。AI 能在規模上分析合約互動,模擬數千種極端情況,並從每一次新漏洞中學習以提升偵測能力。
不過,AI 安全也有自己的挑戰。對抗性機器學習讓攻擊者能專為避開 AI 檢測而設計利用行為。訓練數據若有偏差會產生盲點。而部分 AI 決策屬於「黑箱」,難以理解為何某些交易會觸發警報。
持續審計框架
與其只在發佈前做一次審計,OpenZeppelin、Certora 等項目推崇持續安全檢視。OpenZeppelin 的 Defender 平台提供持續監控和自動化安全運作。Certora 則有數學式形式化驗證服務,可證明程式碼正確無誤。
形式化驗證代表最頂級標準。通過把合約行為用數學規範描述,利用定理證明器去檢查程式碼是否滿足這些規範,形式化驗證能發現一般測試難以察覺的整類錯誤。像 Curve Vyper 漏洞,就是因為再入鎖的規範沒有被形式驗證而出錯。
限制是成本和複雜性。形式化驗證需要專業技能,費用動輒可達數十萬美元。大部分 DeFi 項目難以負擔這種全面過程。此外,它只能證明程式碼符規格——如果規格本身有錯(如 Bunni 的情況),那驗證反而會給予錯誤信心。
漏洞賞金機制的演變
漏洞賞金發展迅速。Immunefi,領先的 Web3 漏洞賞金平台,截至 2025 年已支付了超過一億美元賞金給安全研究人員。嚴重漏洞賞金動輒超過一、兩百萬美元,某些協議甚至最高提供一千萬美元。
GMX 案例反映一個新趨勢:協議會事後向攻擊者提出賞金協議。與其透過執法部門追查攻擊者——又貴又慢,而且加密貨幣的偽匿名特性令追查往往無效——協議寧願「白帽交易」。還撥回九成贓款,留下一成作為「賞金」,免受法律追究。
這種務實做法承認通過傳統手段追回資金成功率很低。Chainalysis 數據顯示,透過執法人員追回的失竊加密資產僅約十分之一。把有能力的攻擊者視為獎金獵人而非罪犯,能顯著提升追回率。
批評的人認為,這反而鼓勵人先行攻擊——為什麼要正路報告錯誤換取中等獎金,不如直接盜取千萬,然後返還一成談和?反方認為,有能力的攻擊者本來就可以利用漏洞經 Tornado Cash 等混幣器洗錢。賞金只是一條雙贏的「合法撤退路」。
區塊鏈安全聯盟
行業內的協調,例如區塊鏈安全聯盟,目標是讓不同協議分享威脅情報與最佳做法。當有協議被攻擊,能迅速公開詳情,讓其他協議檢查自身有否同類漏洞。
這種集體方法視 DeFi 安全為共同資源,需要合作而非競爭。不過,實際協調仍有限。協議常會因害怕模仿攻擊或損害聲譽而隱瞞細節。要在競爭協議間建立足夠信任,讓信息真正公開分享,難度甚高。
Uniswap V4 效應:自定掛鉤,自定風險
Uniswap V4 於 2024 年底推出,標誌著 DEX 架構的大革新,也帶來全新安全考慮。引入 hooks 允許流動性池無限自定義,開發者可在池的生命周期關鍵點插入自定義邏輯(交換前、交換後、加資前、減資後等)。
這帶來巨大新機遇。開發者可建立隨波幅自動調整的動態費用結構。又可實現自訂的計價曲線、限價單、時間加權市場創造者、集中流動性優化,以及從未有過的複雜策略。每個池都可程式化,而非僅僅配置。
Bunni 就體現了這種潛力。它以 Uniswap V4 掛鉤為基礎,通過動態分配資本到高交易量價格範圍,自動為流動性提供者優化回報。這項創新很有說服力——Bunni 的技術一度吸引 6,000 萬美元 TVL——但複雜性最終卻致命。
安全公司 Hacken 的 hooks 分析,指出這架構帶來多種新型漏洞風險:
配置風險:掛鉤權限設定如果出錯,可能導致交易失敗、拒絕服務或異常行為。掛鉤需要正確指定作用的生命周期點,設定錯誤能令用家被鎖出池或被未授權人接管。
Delta 處理:Uniswap V4 採用獨特記帳機制,用掛鉤回傳的「delta」——即餘額變動——影響交易執行。計算有誤會造成資金分配錯亂,甚至被操控盜竊或搞崩交易。對數學準確性的要求,遠超一般智能合約常規。
非同步掛鉤(Async Hooks):某些掛鉤會在操作期間直接保管資產,而不只是改參數。這類「async hooks」涉及託管風險——如果合約被攻陷,資金即是對方囊中物。傳統 Uniswap 執行期間一向由用戶掌控資產,掛鉤則可能破壞這份保障。
權限控制:掛鉤可有特權操作(暫停、升級、改參數)。如果控制權弱或密鑰失陷,攻擊者可注入惡意邏輯或盜竊資金。CertiK 的分析指出,持有用戶資產的可升級掛鉤,若升級權限受損風險更大。
組合性爆炸:掛鉤能與外部合約互動,產生依賴鏈。只要任何外部系統有漏洞,就會這樣傳到主池,整體攻擊面隨每個接口倍增。
Bunni 失敗的根源,正在於其流動性分配邏輯的 delta 處理複雜。提款計算中的捨入誤差,就是這類放大後災難性的微細數學謬誤。傳統審計難以預警,因為掛鉤屬全新代碼模式,並無參考的漏洞資料庫。
Uniswap Foundation 的 V4 文件強調安全,並明言掛鉤開發者必須自負其任。Uniswap V4 核心合約已完成九次獨立審計,並舉辦 1,550 萬美元漏洞賞金賽。基礎層面安全有保障,但如 Bunni 一類基於掛鉤之項目則...security - a challenge many teams lack resources to meet.
security - 一個唔少團隊都冇足夠資源去應對嘅挑戰。
The proliferation of hook-based protocols creates a long tail of smaller projects, each with custom logic that requires individual auditing. This fragments security attention across dozens or hundreds of implementations rather than concentrating it on a few core protocols. The diversity enables innovation but multiplies risk.
hook架構協議大量湧現,形成好長尾嘅細規模項目,每個都有自己嘅自訂邏輯,需要獨立審計。咁樣令安全工作分散喺成十幾、甚至幾百個實現度,而唔係集中喺少數核心協議度。多元化帶嚟創新,但同時風險亦都成倍增加。
Some security researchers predict hooks will drive a new wave of exploits through 2025 and 2026 as developers learn costly lessons about proper implementation. Others believe the standardization of common hook patterns - libraries like OpenZeppelin's hook implementations - will eventually create secure building blocks that reduce innovation risk.
有啲安全研究員預計,去到2025至2026年,hooks會帶起新一輪攻擊潮流,開發者會為實現失誤付上沉重嘅學費。另一邊廂,有啲人相信,等到常見hook模式標準化——例如 OpenZeppelin's hook implementations 咁嘅library——終有一日會建立到穩陣嘅基礎組件,降低創新嘅風險。
Legal, Insurance, and Policy Dimensions
法律、保險同政策層面
As DeFi losses mount, regulatory and risk-transfer mechanisms are emerging, though their effectiveness remains uncertain.
隨住DeFi損失越嚟越多,監管同分散風險機制開始出現,雖然效果如何仍然有好多變數。
Regulatory Pressure
監管壓力
European Union's Markets in Crypto-Assets (MiCA) regulation, which came into full effect in 2024, establishes licensing requirements and operational standards for crypto service providers. While MiCA primarily targets centralized exchanges and custodians, its provisions on operational resilience and security standards create indirect pressure on DeFi protocols.
歐盟嘅Markets in Crypto-Assets(MiCA)監管條例喺2024年全面生效,為加密貨幣服務供應商設立咗牌照要求同營運標準。雖然MiCA主要針對中心化交易所同託管機構,但當中有關營運韌性同安全標準嘅條款,亦都變相加咗啲壓力喺DeFi協議身上。
The Financial Action Task Force (FATF) has updated guidance emphasizing that DeFi protocols with any centralized control elements - like admin keys or fee switches - should be regulated similarly to traditional financial intermediaries. This creates legal uncertainty for projects attempting to balance security (requiring some administrative control) with regulatory avoidance (requiring complete decentralization).
金融行動特別工作組(FATF)更新咗指引,強調只要DeFi協議有任何中心化控制元素(例如admin key或者fee switch),都應該比照傳統金融中介咁規管。咁樣令到啲想同時平衡安全(要有啲管理控制)同避開監管(要完全去中心化)嘅項目陷入法律灰色地帶。
US regulators have been less coherent, with the SEC and CFTC competing for jurisdiction while providing little clarity on compliance requirements. The regulatory ambiguity paradoxically discourages security investment - if a protocol's legal status is unclear, founders hesitate to spend resources on compliance and security when the business model itself might be deemed illegal.
美國監管就更加唔清晰,SEC同CFTC互相爭管轄權,但又冇講清楚合規要求。咁嘅監管模糊反而打擊咗團隊投資安全嘅積極性——如果一個協議嘅合法性本身都唔清楚,創辦人點會想花錢做合規同強化安全?萬一個business model最後都係非法,資源咪白白浪費。
On-Chain Insurance
區塊鏈上嘅保險
Nexus Mutual, Sherlock Protocol, and Risk Harbor have pioneered decentralized insurance for smart contract risks. Users can purchase coverage against specific protocol exploits. If an exploit occurs, claims are paid from insurance pools funded by premiums and capital contributions.
Nexus Mutual、Sherlock Protocol 同 Risk Harbor 率先做咗智能合約風險嘅去中心化保險。用戶可以買指定協議爆bug嘅保障,如果真係出事,賠償就會由保費同資本貢獻組成嘅保險池支付。
These insurance protocols face their own challenges. Pricing risk accurately in a rapidly evolving environment with limited historical data proves difficult. Nexus Mutual's loss ratios have been volatile - some periods with minimal claims, others with massive payouts that strain pool reserves.
但呢啲保險協議都有佢自己面對嘅困難。咁新又咁快變嘅環境,再加上冇咩歷史數據,要精準定價個風險,真係唔易。譬如Nexus Mutual,賠款比率大起大落,有時完全冇咩出事,有時又一單掂天大,連保險池條數都頂唔順。
Sherlock's model attempts to solve this by having security experts stake capital as underwriters. Experts audit protocols and stake their own funds, betting on their assessment's accuracy. If they miss vulnerabilities that lead to exploits, their stake is used to cover claims. This aligns incentives, as Sherlock's $4.5 million payment to Euler demonstrates - Sherlock stakers bore the loss for missing the vulnerability during audit.
Sherlock就試下用安全專家「連本帶命」博大霧:專家自己落本審合約,用自己啲錢去「搏」真係審得準。萬一佢哋miss咗啲漏洞,以致協議爆咗,嗰啲staked嘅錢用嚟賠人,自己孭鑊無得甩。好似對Euler賠咗450萬USD咁,Sherlock嘅專家真係蝕埋啲本,因為審查時miss咗漏洞。
However, insurance remains a niche market. According to DeFi Llama data, total value locked across DeFi insurance protocols is only about $500 million - less than 0.1% of DeFi's total TVL. Most users remain uninsured, either due to ignorance, cost, or belief that exploits won't affect them.
不過,DeFi保險始終都係小眾玩意。根據DeFi Llama提供嘅數據,所有DeFi保險協議加埋嘅上鎖資產,就得大約5億美金,都唔夠DeFi總TVL嘅 0.1%。大部分用家都冇買保險,要唔係唔知有得買、要唔係嫌貴,又或者係覺得出事唔會中自己。
Legal Accountability Questions
法律責任嘅問題
A philosophical and legal question looms: should DeFi protocols be held legally accountable for negligence? Traditional financial institutions face lawsuits and regulatory penalties for security failures. Should developers who deploy audited but ultimately vulnerable code face similar liability?
有個哲學同法律問題愈嚟愈明顯:DeFi協議究竟應唔應該對疏忽負法律責任?傳統金融機構一出安全事故好大機會畀人告或者罰錢。咁啲開發人員發佈咗、審計過但最終都有漏洞嘅代碼,係咪都應該要負同樣責任?
Arguments for accountability include protecting users and incentivizing security investment. If developers face no consequences for negligent design, they externalize risks onto users. Legal liability would internalize these costs, encouraging more thorough security practices.
支持要負責任嗰邊會話,要保障用家同激勵團隊投資資源喺資訊安全。如果開發者對設計疏忽完全唔使負責,實際係將風險轉嫁晒畀用戶。要佢哋負責任,會令這啲成本回歸自己身上,推動更嚴謹嘅安全措施。
Arguments against include stifling innovation and contradicting open-source principles. DeFi protocols often explicitly disclaim liability through terms of service warning users of risks. Making developers liable for unintentional vulnerabilities might drive talent away from Web3 entirely. Additionally, many protocols are genuinely decentralized with no clear legal entity to hold accountable.
但反對嗰邊就話會打殘創新同有違開源原則。好多DeFi協議都有條款明確講明唔負責任,用戶要自負風險。如果要開發者為唔小心嘅漏洞都要孭曬,Web3人才走咗都未定。仲有,唔少協議真係走到好去中心化,連邊個係法定責任人都冇一個。
The Bunni case illustrates this tension. The six-person team spent years developing the protocol, underwent professional audits, and lost their own invested capital in the exploit. Should they face legal consequences for a logic error that multiple experts missed? Or does attempting to hold them accountable for an honest mistake while operating on the bleeding edge of technology simply punish innovation?
Bunni事件就係最好嘅例子。個六人團隊搞咗好幾年,搵咗專業公司審計,最後連自己投落去嘅錢都蝕咗。只係因為有個邏輯錯誤,真係好幾個專家都miss咗,佢哋就應唔應該要負法律責任?定一味捉住啲站在科技前沿嘅創新者嚟問責,純粹係懲罰創新?
These questions remain largely unanswered as legal systems struggle to adapt centuries-old frameworks to decentralized networks.
依家法律體系仲未有答案,始終要將幾百年嘅制度套落去中心化網絡,絕對唔容易。
The Future of On-Chain Safety
區塊鏈安全嘅未來
Looking forward, several trends may reshape DeFi security over the next decade:
展望未來,以下幾個趨勢可能會喺未來十年,徹底改寫DeFi安全版圖:
Verifiable Security Standards
可驗證安全標準
The industry is moving toward "provable correctness" - using formal verification and mathematical proofs to guarantee contract behavior rather than relying on testing. Runtime Verification and Certora are building tools that make formal verification accessible to more projects.
圈子正逐步行向「可證明正確」——即係用形式化驗證同數學證明去確保合約行為,唔單靠測試。Runtime Verification 及 Certora 等公司已經開始做相關工具,令形式化驗證易啲普及去更多項目。
Imagine a future where contracts carry cryptographic proofs of security properties. Users could verify claims before interacting, similar to SSL certificates that prove website identity. Protocols without proofs would face market skepticism, creating pressure to adopt rigorous verification.
想像吓未來:智能合約附帶加密證明,證明佢啲安全性質。用戶可以即場驗證先決定參與,好似web啲SSL憑證咁。冇證明嘅協議,市場就會自己質疑,逐步逼大家都要採用嚴謹驗證。
This requires standardization of security properties and verification methodologies. Organizations like the Ethereum Foundation are working on such standards, but widespread adoption remains years away.
要做得到,就要統一安全屬性同驗證流程嘅標準。Ethereum Foundation等機構已經開始做緊,但要好廣泛推行,仲要幾年時間。
Decentralized Security Layers
去中心化嘅安全層
A proposed "DeFi Security Layer" - a meta-protocol monitoring other protocols - could provide systematic oversight. Rather than each protocol implementing its own security, a shared infrastructure would detect anomalies, coordinate responses, and facilitate information sharing.
有人提議整個「DeFi安全層」——即係meta-protocol負責監督其他協議,可以提供成套嘅監控。咁就唔使每個協議自己起頭起安全措施,而係靠共享基建去偵測異常、協調反應同分享資訊。
Think of this as analogous to traditional finance's risk management infrastructure: credit rating agencies, auditors, regulators, and insurance all providing overlapping security functions. DeFi needs similar multi-layered defenses adapted to its decentralized context.
你可以當作同傳統金融風險管理基建一樣——有信用評級機構、審計師、監管機構同保險,全都各有分工,有重疊有補位。DeFi都需要適合去中心化環境嘅multi-layer防護。
Challenges include ensuring the security layer itself doesn't become a single point of failure, maintaining decentralization while providing effective oversight, and creating sustainable economic models for such infrastructure.
挑戰係保證呢個「安全層」唔會變成單點故障、同時可以保持去中心化又有監管效果;仲要諗好點樣持續生存落去嘅經濟模式。
Evolutionary Security Through Competition
競爭推動下嘅演化式安全
Market forces may ultimately drive security improvements more effectively than regulation. As users become more sophisticated and exploit losses mount, capital should flow toward protocols with strong security track records. Protocols that invest heavily in security gain competitive advantages in attracting risk-aware liquidity.
市場力量最後可能仲有效過監管推動安全。用戶愈嚟愈醒目,爆雷損失有增無減,啲資本自然會流向有優良安全紀錄嘅協議。肯投資安全嗰啲協議,喺吸引識諗風險嘅流動性玩家方面會更有優勢。
This evolutionary process is already visible. Aave, having avoided major exploits through rigorous security practices, commands significantly higher TVL than competitors with spotty security records. Users increasingly check audit reports and security assessments before committing capital.
咁嘅自然選擇已經見到端倪。Aave一直靠嚴格安全措施避過大BUG,TVL明顯高好多過安全紀錄唔掂嘅對手。用戶開始都會睇audit report同安全評估先落錢。
However, this process is slow and painful, requiring numerous catastrophic failures to teach lessons. The industry may not survive a truly massive exploit - a single event wiping out billions and destroying mainstream confidence in DeFi's viability.
可惜呢個過程又慢又傷,次次要經歷一次災難先學一次教訓。如果有次真係爆番勁大鑊,一下玩死十億美金,再冇人信DeFi,成個圈都未必頂得住。
AI-Powered Defense
AI加持之下嘅防禦
Artificial intelligence will likely play an increasing role in both attack and defense. AI can analyze contract code for vulnerabilities, simulate exploitation scenarios, monitor transactions for suspicious patterns, and even automatically patch certain vulnerability classes.
AI將來會越嚟越重要,無論攻擊定防守。AI可以幫手分析合約代碼搵漏洞、模擬攻擊情境、監察交易異常、甚至自動修補啲常見安全死位。
Conversely, attackers will use AI to discover vulnerabilities and craft exploits. This creates an arms race where both sides leverage increasingly sophisticated tools. The balance may never stabilize, instead oscillating as new AI capabilities emerge and are deployed by defenders and attackers in turn.
反過來,攻擊者都一定會用AI去搵漏洞,設計exploit。雙方會進入一場科技軍備競賽,大家用啲越嚟越犀利工具。攻防平衡可能永遠都唔會真正穩定落嚟,而係隨住AI新技術出現不斷拉鋸。
Shift Toward Risk-Aware Design
轉型向風險意識型設計
Perhaps the most fundamental change needed is cultural: accepting that perfect security is impossible and designing systems to be resilient in the face of inevitable failures.
可能最根本變化係文化層面:要接受「冇100分嘅安全」,系統設計要識得面對失敗而仲頂得住。
This means:
- Limiting blast radius: If one pool is exploited, others should remain unaffected
- Graceful degradation: Protocols should fail safely rather than catastrophically
- Rapid recovery mechanisms: Procedures for unfreezing frozen funds or redistributing losses
- Transparent risk communication: Users need clear understanding of what they're risking
即係話:
- 限制爆炸範圍:一個池出事,唔好拖垮其他池
- 優雅降級:出事應該安全咁fail,唔係一下崩潰
- 快速復原機制:例如快速解凍資金或分擔損失嘅程序
- 資訊透明:讓用戶清清楚楚知道自己冒咩風險
The DeFi ethos has tended toward "trustless" meaning "secure by default." A more mature approach recognizes "trustless" as "transparent about trust assumptions." Users can then make informed decisions about which risks they accept.
DeFi最初成日講「trustless」等於預設安全。其實成熟啲睇法係:trustless=你清楚攤出信任假設,咁用戶先可以真係自己決定夠唔夠膽接嗰啲風險。
Lessons from Bunni and Beyond
Bunni事件與其餘案例嘅啟示
The Bunni DEX shutdown represents more than another entry in the long list of DeFi failures. It symbolizes the persistent gap between ambition and execution that defines decentralized finance in 2025.
Bunni DEX收皮唔單止又係一宗DeFi事故,仲象徵住2025年DeFi圈子——理想同實踐之間,永遠拉扯嘅差距。
The protocol's story contains several sobering lessons. First, innovation and risk are inseparable. Bunni's Liquidity Distribution Function represented genuine advancement in automated market maker design. The complexity that made it innovative also made it vulnerable. There's no clear path to innovation without accepting elevated risk - a truth the industry must openly acknowledge rather than disguise behind audit
Bunni個案帶畀我哋幾個深刻教訓。首先,創新同風險永遠一齊行。Bunni嘅Liquidity Distribution Function,確係自動做市商設計嘅一大進步;但正因佢複雜,先會咁易出事。要突破,就註定要承擔更大風險——呢個現實應該坦白面對,而唔好用咩審計report遮住隻眼。badges.
第二,審計只提供有限的保障。Trail of Bits 同 Cyfrin 都係備受尊重嘅公司,過去為唔同項目保障咗數以十億計資產。但佢哋未能發現 Bunni 嘅漏洞,唔係因為能力問題,而係源於審計方法本身嘅根本性局限。只靠傳統審計,邏輯層面嘅語意漏洞依然會漏網。業界需要喺審計之外,加多幾層安全防線。
第三,DeFi 嘅安全經濟模式仍然有嚴重問題。Bunni 根本負擔唔起六至七位數嘅成本嚟以更高安全標準重啟。但業界損失嘅資金以十億美元計。呢種落差反映咗市場系統嘅失靈,個別項目投放喺安全上嘅資源一直不足,即使全部損失根本已經值得投入巨額資金加強保護。解決方案好可能需要集體行動,例如:共用安全設施、聯合保險,又或新型監管要求。
第四,最終人為因素凌駕技術因素。Bunni 嘅團隊其實有實力而且有誠意,跟足業界標準,做咗審計,投資咗唔少資金。出事唔係因為惡意,更唔係無能,而係要建構一個複雜系統並無錯誤,本身就極困難。單純怪責人,只會忽略咗重點 —— 呢個行業本身產生漏洞嘅速度,遠快過人手可以發現同修補。
正如 Doug Colkitt 喺 KyberSwap 漏洞回應中所講,有啲攻擊手法已經精細到,如果唔從根本架構層面改變,都未必可以預防。KyberSwap 嘅攻擊者展示咗同項目開發團隊相當嘅專業水平。當埋攻擊者同防禦者技術層面對等,防守方就處於嚴重劣勢 — 佢哋要預知所有潛在攻擊點,但攻擊者只需要搵到遺漏嘅其中一個罅隙。
回顧 2025 年度多單 Exploit,可以見到幾個重覆出現嘅主題:
Flash Loan 作為威力倍增器:幾乎所有大型 Exploit 都利用 flash loan 去放大衝擊。DeFi 業界如果未能制定方法去防止 flash loan 被濫用,而又唔影響其正當功能,呢個攻擊路徑只會繼續存在。
可組合性帶來堆疊風險:唔同協議如果接入多個外部系統,就會累積晒所有對方既漏洞。Euler 的染疫效應波及 Balancer、Angle 至 Idle Finance,反映 DeFi 網絡結構會成倍放大損失。協議應該優化彼此之間嘅隔離能力,以及加強風險應對模式。
編譯器信任問題:Curve Vyper 嘅漏洞證明,就算協議層代碼無瑕,底層工具一出事都可以全盤失守。業界唔能再淨係關注合約本身,而係要全面保障整個開發堆疊——包括編譯器、程式庫、框架等。
反應速度極關鍵:GMX 成功透過白帽賞金回收損失,而 Balancer 及早透明披露漏洞,都證明咗主動快狠的處理可以減少損害、保持用戶信心。協議必須事先有危機應對流程同公關策略。
市場記憶短暫:儘管一再爆出漏洞事故,DeFi 業界依然持續增長。2025年中,總鎖倉量重上$900億美元水平,即使過去損失數十億。使用者可能覺得風險本就屬於呢個領域,或者更多人根本對過去失敗並無認識。兩者對生態長遠健康都係令人憂慮。
追本溯源,形勢有啲複雜。Uniswap 創辦人 Hayden Adams一再強調,安全應該成為「一等公民」而唔係事後才諗。但即使佢嘅V4設計經大量審計,其新功能仍帶來更多攻擊入口。創新同風險始終密不可分。
Samczsun,可能係 Web3 最受人尊敬嘅安全專家之一,一直警告 DeFi 複雜性遠超現時安全基礎設施。佢過去揭露多個大型協議漏洞,反映問題普及同時亦顯示區內高水平安全研究人員嘅重要性。
最終問題仲未有答案:DeFi 可唔可以達到真正安全?定係其開放本質注定同安全性無法並存?傳統金融靠管控、監管、集中托管去實現安全。DeFi 目標則係開放、無需許可、去中心化。依家睇嚟,呢啲目標數學上可能矛盾——系統愈開放愈可組合,必然風險愈高。
咁真正值得問嘅問題可能係:「DeFi 用戶可接受幾多安全風險,來換取其帶來嘅好處?」2025年既用戶明知有風險仍堅持用 DeFi,因為佢哋珍惜不受審查、全球可用同新穎金融產品。有啲人係有意識,有啲人就盲目,但都係掂過招風險,換取自由。
DeFi 想成熟,用戶需要更透明資料,知道自己參與係乜。有關安全指標應該清楚陳列:審計報告、上次安全審查距今幾耐、按已知漏洞邊部分 TVL 最危險、有無保險等。市場先可以正確定價風險,而唔係所有協議一律假設安全。
開發者必須接受「絕對安全唔存在」,設計上要預留失誤防線。電路斷路器、資金分隔、可升級機制、損失修復等功能都應該標配,唔應該可有可無。主流問題已經變成「如何減少必然出現的損失」,而不是「如何杜絕一切漏洞」。
結論:真正需要改變啲咩
2025年上半年損失超過 31 億美元,唔只係一個數字——係代表有人受損、信心崩潰、創新被拖慢。每一次漏洞事故都令 DeFi 主流化之路愈行愈遠,同時令倡導嚴苛監管(甚至扼殺創新)嘅聲音更大。
對用戶嚟講,建議其實簡單但唔滿意:假設每個協議都有漏洞、分散資產喺多個平台、保持對攻擊歷史有基本認識、有保險用就用、永遠唔好投入自己唔能承受損失嘅錢。現階段DeFi,適合風險承受能力高、明白佢係一個未完成實驗嘅人。
對開發者,最大挑戰係認清:安全不能事後才諗。協議必須預留足夠預算——可能要20至30%開發成本——投放喺安全:多重獨立審計、可行嘅形式驗證、不斷監控、快速應對機制、定期更新安全措施。負擔唔到呢啲成本嘅項目,都應該認真考慮自己值唔值得存在。
對全行業而言,協作極為重要。推動共用安全設施、標準化審計流程、漏洞公開透明溝通、保險共池等,先真正解決小型獨立項目冇能力投資安全而導致嘅市場失效。要成就可靠去中心化金融,有啲安全功能集中化可能勢在必行。
對監管者嚟講,唔應該簡單地生搬硬套傳統金融監管,因為創新本身需要一定風險。聰明嘅監管,應注重資訊透明度、確保用戶明白風險、同清晰界定失職時嘅法律責任。強硬打壓只會將 DeFi 逼去無監管地區,令情況更壞。
Bunni 團隊最後的聲明總結咗呢個悲劇:「我哋只係一隊由6個人組成嘅細小團隊,對 DeFi 有熱誠,希望推動行業進步。我哋花咗人生中幾年時間同數百萬美金開發 Bunni,因為真心相信佢係 AMM 嘅未來。」佢哋可能冇講錯——自動化做市商未來好可能會處理數萬億美元,但要達到呢個目標,安全問題仍係最大障礙,仲未有一個光明嘅答案。
踏入 2025 年下半年同 2026,最大考驗係 DeFi 可唔可以追得切啲愈來愈精密嘅攻擊,唔至於俾整個生態拖垮。支持無需信任金融科技嘅同時,也帶來一啲傳統中心化系統唔會有嘅新型漏洞。呢種權衡,也許本就無法避免。又或者,隨住形式驗證、AI 安全防禦、共享安全基礎設施等技術突飛猛進,安全與開放可以迎來新平衡。
可以肯定無疑嘅係:依家咁樣——每年損失以十億計,但安全仍然係事後才諗——唔會持續得耐。DeFi 必須進化,否則只會被邊緣化。最終選擇權喺開發者、用戶、同投資社群手中,佢哋要決定——去中心化金融到底係人類未來,定只係又一個失敗嘅信任式系統實驗。