来源：Bankless

作者：David Christopher，Bankless

编译及整理：BitpushNews

---

这事儿说来也幽默：机构投资者终于开始进入链上世界，而“去中心化借贷将成为金融应用的默认原语”这一论断也从未像现在这样具有说服力。

然而，许多加密原生开发者却正在远离 DeFi ，甚至彻底退出。风险因素持续超过收益回报，而过去十天发生的事件更是雪上加霜。

威胁

众所周知，4 月 1 日，攻击者在约十分钟内从基于 Solana 的永续合约交易所 Drift Protocol 卷走了约 2.85 亿美元。

安全公司以“中高程度”的信心将此次攻击归因于 UNC4736——一个受朝鲜支持的国家级黑客组织。该组织并未执行闪电贷攻击或预言机操纵。据推测，他们进行了一场为期六个月的情报活动，嵌入了内部人员，并存入了 100 万美元的自有资金，以此获得了 Drift 内部系统的特权访问权限。虽然这不是第一次由朝鲜领导的攻击，但它代表了社交工程攻击的新高度。

紧接着在周二，Anthropic 披露了 Mythos Preview，这是其迄今为止最强大的 AI 模型。Mythos 能够自主发现并利用真实软件中的零日漏洞（zero-day vulnerabilities），并声称已在每个主流操作系统和浏览器中发现了数千个高危漏洞，其中包括一些在数百万次自动化测试中幸存下来的、存在了几十年的缺陷。

这些能力源于通用推理和代码能力的提升。Anthropic 并未针对黑客攻击对其进行训练。

Anthropic 表示，鉴于这些能力，他们不会立即公开发布该模型；目前仅通过名为“玻璃翼项目（Project Glasswing）”的计划与选定的合作伙伴共享，以便他们能在攻击者利用漏洞之前进行修复。

图片来源：Anthropic

这对 DeFi 的影响是直接的。

在智能合约和协议基础设施中寻找可利用漏洞的成本即将崩塌：Mythos 仅花费了 50 美元就找到了那个潜伏了 27 年的问题。

去年 12 月，Anthropic 发布的一份报告显示，领先的模型已经能从零开始破解超过 55% 的真实智能合约漏洞，而一年前这一比例仅为 2%。Mythos 的运作规模则完全不可同日而语。当漏洞发现变得如此廉价时，攻击 DeFi 协议的经济模型将发生我们从未预料到的转变。

风险错配

如今有 118 亿美元资金存放在 Morpho 的保险库（Vaults）中。其中大部分资金是通过 Coinbase、Kraken 或类似界面流入的。存入资金并赚取 2-4% APY（年化收益率）的储户，可能将其视为一种“储蓄账户”，但这些绝非无风险资产。

在像 Morpho 这样的保险库中，资金由第三方curator部署到多个资金池和协议中。curator负责确定哪些资产被允许进入、接受多大程度的杠杆、何时重新平衡、何时退出等。策展人的判断质量，是运行良好的保险库与灾难之间的唯一分界线。

鉴于这些策略的复杂性，即使是管理良好的保险库，其风险暴露也比传统的借贷池更高。

M0 创始人 Luca Prosperi使用了银行定价公司债券的相同模型，来测试储户是否因承担这些风险而获得了公平补偿。他的结论是：对于以 ETH 或 BTC 为抵押的借贷市场，贷方赚取的收益应该比美国国债高出每年 2.5% 至 4%。而大多数 Morpho 市场的支付收益仅为其中的一小部分。

如果再叠加国家级间谍活动和超强 AI 漏洞发现能力这些额外的风险向量，那么这点收益根本不值得冒这么大的险（Squeeze）。

保险能救场吗？

链上保险已经存在多年。

最早且最持久的协议 Nexus Mutual 启动于 2019 年。截至 2022 年底，只有不到 1% 的 DeFi TVL（总锁仓量）被保险协议覆盖；而截至 2026 年，Nexus Mutual 在其整个历史中仅支付了 1860 万美元的总索赔额。仅在 2025 年一年，加密领域就因黑客攻击损失了 34 亿美元。

为什么会这样？主要原因有三个：

• 保费过高：每年 2-5% 的保费会吞噬甚至超过用户赚取的收益，因此储户选择了放弃。

• 覆盖范围窄：Nexus Mutual 涵盖智能合约漏洞和预言机故障，但不包括网络钓鱼、运营环节被入侵或团队恶意行为——而这些正成为日益主流的攻击向量。去年 Bybit 遭受的 15 亿美元黑客攻击就不在承保范围内，Drift 的遭遇也不会被覆盖。

• 数据缺失问题：传统保险公司有数百年的损失历史进行定价参考。DeFi 只有大约十年。协议随着每次升级而改变，目前还没有标准化的方法来衡量一个特定智能合约失败的可能性。

然而，在过去的一周里，保险领域出现了一个新的迭代。OpenCover（一个建立在 Nexus Mutual 之上的分发层）刚刚推出了一款名为 Covered Vaults 的产品，专门针对这些故障并为保险库量身定制。

其机制非常直接——像往常一样存入保险库，收到代表你份额的代币，然后将该代币质押在 Covered Vaults 以激活保护。一小笔保险费会自动从你的收益中扣除。你不需要单独或预先支付；它会从保险库为你赚取的收益中流出。如果发生承保范围内的损失事件（如黑客攻击或协议故障），你将获得最高至承保限额的补偿。你可以随时关闭它，没有锁定期，无需续费。

目前每个保险库的承载能力为 5000 万美元。这虽然是真金白银，但相对于部署的数十亿资金来说规模较小。而且上述提到的威胁向量——国家级行动和 AI 驱动的漏洞发现——正在挑战任何基于历史损失数据构建的定价模型的边界。

残酷的数字…

DeFi目前可悲的现实是，在一个金库头寸上赚取2-4%收益的存款人，所承担的可量化风险远超其收益——这一点在我们得知Drift攻击或Mythos预览版的潜在风险之前就已经存在。

问题是，面对日益增长的生存威胁，我们该如何前进。

第一步是让防御者获得Mythos级别的模型。当攻击面如此吸引网络罪犯和国家级攻击者时，领先的人工智能公司没有理由在早期预览阶段将加密公司排除在外。

基于这一点，其中的积极面在于对称性。这个问题更可能演变成一场攻防能力相互追逐的“猫鼠游戏”。将其与像OpenCover这样的保险协议（我对它持乐观态度）结合起来，可以为DeFi提供一个合法的安全网，从而帮助我们实现规模化，并成为一个经受过更多实战考验的去中心化金融基础。

---

Twitter：https://twitter.com/BitpushNewsCN

比推 TG 交流群：https://t.me/BitPushCommunity

比推 TG 订阅： https://t.me/bitpush