加密安全公司 OpenZeppelin 聯合創辦人 Manuel Araoz 在社群媒體發文表示,他現在認為「所有 DeFi 都不安全」,已開始親自建議親友退出包括 Aave、MakerDAO、Compound 在內的所有 DeFi 部位。
(前情提要:Kelp DAO 宣告 rsETH 全面恢復:5 週前遭北韓駭客竊取 2.93 億鎂)
(背景補充:SquidRouterModule 爆重大漏洞!86 個 Gnosis Safe 遭駭 300 萬美元)
重點摘要
- OpenZeppelin 聯創 Manuel Araoz 公開建議親友退出 Aave、MakerDAO 等所有 DeFi 部位
- 4 月 DeFi 被盜近 6.3 億美元,Drift(2.85 億)和 Kelp DAO(2.93 億)均與北韓駭客有關
- DeFi TVL 自 4 月中旬下降約 14%,5 月再發生 25 起安全事件,40+ 協議已宣布關閉
寫過加密世界最多人使用的智慧合約安全框架的人,現在勸你把錢全部撤出 DeFi。
OpenZeppelin 聯合創辦人 Manuel Araoz 近日在社群媒體發文,表示他已改變對 DeFi 安全的看法,目前的結論是「所有 DeFi 都不安全」。他透露自己已經開始親自建議親友退出所有 DeFi 部位,即便是 Aave、MakerDAO 和 Compound 這類長期運作的「藍籌」協議也不例外。
PSA: I now consider *all* of DeFi unsafe.
Coding agents are superhuman at finding vulnerabilities, and smart contract security is too asymmetric: defenders need to fix every bug while attackers need just one exploit to steal funds.
— Manuel Aráoz (@maraoz) May 26, 2026
AI 讓攻防徹底不對等
Araoz 點出的核心問題在於攻擊者與防禦者之間結構性的不對等。他表示,AI 程式碼代理(coding agents)在發現智慧合約漏洞方面「能力超群」,而這種能力天然偏向攻擊方。防禦者必須堵住每一個漏洞,攻擊者只需要找到一個就能把錢搬走。
這段話從安全公司創辦人嘴裡說出來格外有重量。OpenZeppelin 的智慧合約庫被全球絕大多數 Solidity 開發者使用,Araoz 對 DeFi 安全的理解不是紙上談兵。他的判斷等於在說:目前的技術架構下,DeFi 的安全模型從根本上就是攻方佔優。
4 月至今損失持續擴大
資料站在 Araoz 這邊。4 月單月 DeFi 協議被盜近 6.3 億美元,是自 2025 年 2 月 Bybit 被盜約 15 億美元以來損失最慘重的月份。其中 Drift(2.85 億美元)和 Kelp DAO(2.93 億美元)兩起重大漏洞利用事件,均被追蹤機構歸因到北韓政府支援的駭客組織 Lazarus Group。
市場信心已經明顯受挫,DeFi 協議總鎖倉價值(TVL)自 4 月中旬以來下降約 14%,從約 1,720 億美元降至 1,480 億美元。5 月也沒有安寧,迄今已發生 25 起安全事件,包括 Verus Network 跨鏈橋被利用損失 1,160 萬美元,以及 Polymarket 的 UMA CTF Adapter 遭攻擊損失約 57 萬美元。
40 多個協議在今年前五個月陸續宣布關閉或進入清算模式。統計上,北韓關聯的攻擊者佔了 2026 年全球加密貨幣駭客損失的 76%,比起 2025 年的 64% 進一步攀升。對 DeFi 失去信心的危機,還在蔓延。
常見問題
OpenZeppelin 聯創為什麼說所有 DeFi 都不安全?
Manuel Araoz 認為 AI 程式碼代理讓攻擊者在發現漏洞上佔盡優勢,防禦者必須堵住所有漏洞,但攻擊者只需找到一個就能盜走資金,這種結構性不對等讓包括 Aave、MakerDAO 在內的所有 DeFi 協議都有風險。
2026 年 DeFi 被盜了多少錢?
截至 5 月底已超過 7.7 億美元,僅 4 月就被盜近 6.3 億美元。最大兩起事件為 Drift(2.85 億美元)和 Kelp DAO(2.93 億美元),均與北韓駭客組織 Lazarus Group 有關。
📍相關報導📍
Kelp DAO 宣告 rsETH 全面恢復:5 週前遭北韓駭客竊取 2.93 億鎂
