IOSG ： DeFi 到了最危險的時候，真正的漏洞不在程式碼裡 - Odaily

2026 年 4 月 1 日，UTC 時間 16:05:18，攻擊者向 Drift Protocol 提交了一筆交易。一秒後，另一筆交易批准了它。十二分鐘後，2.85 億美元不翼而飛。十七天後，KelpDAO 跨鏈橋上的一個被入侵的驗證者憑一己之力鑄造了 2.92 億美元的無支撐代幣，並在 48 小時內引發 Aave 約 85 億美元的資金外流，DeFi 其他協議也流出了約 45 億美元。又過了十二天，一名持有被盜部署者私鑰的攻擊者跨四條鏈從 Wasabi Protocol 抽走了 450 萬美元。這些事件沒有一起是因為利用了智慧合約漏洞。 DeFi 大半個十年都篤信，安全是一個程式碼問題。審計、形式化驗證、漏洞賞金——整個行業是圍繞一個前提自我組織起來的：只要智慧合約邏輯嚴密，協議就安全。數學即法律。2026 年 4 月就是這個前提在公眾視野中崩塌的月份。 單月跨約 30 起事件累計被盜超過 6.25 億美元——根據 DefiLlama 的資料，按事件數計這是加密史上被黑最嚴重的一個月——而每一筆重大損失都追溯到管理員私鑰、跨鏈橋驗證者、預言機盲區或社會工程攻擊，全都是審計從未被設計來覆蓋的運營底座。本文要講的就是這場遷移。我們會把 4 月三起嚴重黑客事件拆成同一種底層失敗的三副面孔，覆盤一家協議的錯誤跨鏈橋配置如何引發了一家體量比它大 25 倍的協議產生 132 億美元外流，並坦率地審視 DeFi 現在的真實面貌—，它實際上是帶有受信運營槓桿的開放基礎設施，哪怕營銷話術上不這麼說。 問題不出在數學。問題出在圍繞數學的「心智模型」上。數學沒壞。壞的是套在數學之上的心智模型，而這種錯位的代價正在迫使行業重新審視「去中心化」究竟意味著什麼。 [IOSG Ventures]