Openzeppelin 联合创始人 Manuel Aráoz 因称去中心化金融( DeFi)不安全而引发了广泛的行业争论。行业领袖则反驳称,Aráoz 的表述夸大了风险,并指出自 2020 年以来,DeFi 借贷安全性已大约提升了 98%。
- 要点:
-
- Openzeppelin 联合创始人 Manuel Aráoz 最近的言论再次点燃了人们对 DeFi 安全性的担忧。
-
- 0G Labs 首席执行官 Heinrich 指出,自 2020 年以来,借贷安全性提升了 98%,从而削弱了“所有 DeFi 都不安全”的说法。
-
- Cysic 的粉丝预计到 2029 年保险额将增加五倍,并敦促监管机构将重点放在针对 AI 代码的 opsec(操作安全)上。
从戏剧转向数据
当 Openzeppelin 联合创始人、前首席技术官(CTO)Manuel Aráoz 将去中心化金融( DeFi)描述为完全不安全时,震动了一个本就因黑客激增而备受冲击的行业。强调这种脆弱性,区块链安全公司 Peckshield 的一份近期分析发现,仅跨链协议被盗漏洞就仅在今年年初到 5 月中旬期间从中流失了 3.286 亿美元。
Aráoz 的病毒式警告迫使 Openzeppelin 公开与其部分说法保持距离,但这些言论仍成功引发了关于 DeFi 安全性的激烈争论。尽管如此,批评者驳斥他那些夸张的措辞,认为那是一种为自身服务、煽动恐惧与恐慌的尝试。另一些人,例如 Cysic 创始人 Leo Fan,则认为这种叙事削弱了一条具有真实核心内容的信息的可信度。
“把它包装成‘一切都要退出’,会把一个本需要发出的警告变成末日论内容,”Fan 说。“在这个领域要推动人们行动,你不需要戏剧;你需要一个数字。”
0G Labs 联合创始人兼首席执行官 Michael Heinrich 也表达了同样的观点。他指出,相较于 2020 年的基线,DeFi 借贷安全性大约提升了 98%。Heinrich 还强调,主要借贷协议的日均损失率已显著降低,目前约为 0.001%,这也是削弱 Aráoz“所有 DeFi 都不安全”言论的另一个因素。
Heinrich 对 Bitcoin.com News 表示:“叫普通零售用户退出 Aave 和 Maker 这类蓝筹资产,并不符合实际的、按风险调整后的情况。”
在反对 DeFi 的论点中,Aráoz 坚称,人工智能(AI)编码代理在扫描开源智能合约并以机器速度识别可被利用的复杂漏洞方面已经变得极其先进。他认为这些代理带来的威胁非常巨大,以至于他私下建议自己的朋友和家人完全退出其在主要、长期建立的“蓝筹”DeFi 协议中的持仓。
静态审计的终结
然而,Heinrich 和 Fan 都认为,超人级 AI 攻击者的兴起并不意味着防守方应该弃船。相反,他们表示,这需要行业在安全方法上进行根本性的转变。
“按时间点进行的审计已经死了;只是人们还没举行葬礼,”Fan 说。他警告称,把全部重心从审计转向漏洞悬赏是错误的教训。“你不能用监控替代预防——你会把两者之间的鸿沟压缩掉。”
据 Heinrich 称,依赖年度审计不再是一种可信的防御。相反,智能合约安全性的未来依赖于一种以机器速度运行的分层防御流水线,其中审计作为第一道检查点,而不是一次性事件。他概述了一个四层安全堆栈:部署前由 AI 辅助审计并配合人工复核、部署后的持续监控、资金充足的漏洞悬赏,以及防守方侧可验证的 AI。
Heinrich 指出,最终目标是在关键路径中引入形式化验证——使用数学证明而非主观审查——同时,让连续的、由 AI 增强的复核以攻击者相同的方式针对正在运行的合约进行比对。
“审计不会消失,”他说。“它们会变成机器速度防御流水线中的第一道检查点。”
除了预防性的安全流水线之外,关于风险缓释的讨论不可避免地会转向保险,而 Heinrich 指出:在加密生态中,这种保险仍严重欠发达。Heinrich 认为,某些结构性障碍将去中心化保险业务限制在较窄范围内。首先,保险池会锁定资金,而这些资金本可以在 DeFi 的其他地方赚取主动收益。
为了说明这一点,Heinrich 指向市场领导者 Nexus Mutual:其持有的资金大约为 1.90 亿美元,而更广泛的 DeFi 市场的总锁仓价值在 400 亿美元到超过 1000 亿美元之间波动。Heinrich 指出,这种资本比率在结构上偏薄。另一个障碍是界定什么构成链上的可被利用漏洞,他认为这并非易事。
尽管存在这些障碍,Heinrich 仍主张:在协议之间强制推行保险要求并不是推动采用的正确工具。相反,行业必须在产品层面进行创新。
Heinrich 说:“真正能推动指标变化的是参数化的链上产品——它们会在可验证信号出现时自动给付;以及把保险打包进产品的协议,类似于传统市场中的清算费用打包方式。”
监管的是运营,而不只是代码
尽管当前的安全网较窄,但市场需求正在加速。根据 Coinlaw 在 2026 年 3 月发布的预测,去中心化保险市场预计到 2029 年将接近增长五倍。
“Heinrich 指出,资本正在到来。”“缺少的是可以用来部署它的产品层面。”
行业内部向机器速度防御和自动化安全网的转变,引发了对监管监督范围的更广泛疑问。随着政策制定者越来越审视数字资产安全性,Fan 警告称,监管机构可能会过度聚焦于错误的威胁,例如“流氓 AI 系统”的幽灵。
“更聪明的监管直觉并不是专门对 AI 攻击者恐慌,”Fan 说。“而是聚焦在资金真正外流的运营层:密钥托管、多签治理、跨链桥安全,以及事件响应。”
Fan 认为,通过在这些特定向量上强制执行严格的运营安全标准,监督机构就可能消除绝大多数现实世界的资本损失。他警告称,只关注智能合约代码而忽视日常运营,等同于“监管 10%,却错过 90%”。
此外,Fan 还指出了一个技术原语,而政策制定者一直在持续低估它:高级密码学。
Fan 说:“像零知识证明这样的加密证明,用来证明代码运行了什么以及确实正确运行了什么,比一份 PDF 审计报告要好得多。它可以用数学来审计,而不是靠信任。我希望监管精力就投向这里。”
