Openzeppelin 聯合創辦人 Manuel Aráoz 稱去中心化金融(DeFi)不安全,引發了整個產業的廣泛辯論。產業領袖反駁指出,Aráoz 的說法高估了風險,並指出自 2020 年以來,DeFi 借貸的安全性已大約提升 98%。
- 重點整理:
-
- Openzeppelin 創辦人 Manuel Aráoz 近期的評論再度引燃了市場對 DeFi 安全性的疑慮。
-
- 0G Labs 執行長 Heinrich 指出,自 2020 年以來,借貸安全性提升了 98%,削弱了「所有 DeFi 都不安全」的說法。
-
- Cysic 支持者關注到 2029 年保險可能出現五倍成長,並呼籲監管機構應將重點放在作戰安全(opsec)而非 AI 程式碼。
從戲劇轉向數據
當 Openzeppelin 聯合創辦人、前首席技術官(CTO)Manuel Aráoz 將去中心化金融(DeFi)描述為「完全不安全」時,這一表述震動了本就因駭客事件激增而感到不安的產業。強調這種脆弱性,區塊鏈安全公司 Peckshield 的一份最新分析發現,僅跨鏈協議遭利用就使資金在今年年初至 5 月中旬期間流失 3.286 億美元。
Aráoz 的病毒式警告迫使 Openzeppelin 針對他部分說法公開拉開距離,但這些言論確實成功引爆了對 DeFi 安全性的激烈辯論。不過,批評者駁斥他那番戲劇化用語是出於自利、試圖煽動恐懼與恐慌。也有人像 Cysic 的創辦人 Leo Fan 認為,這種敘事方式削弱了訊息本身的可信度,儘管其核心確實有一定的實質內容。
Fan 說:「把它包裝成『退出一切』,會把一則亟需的警告變成末日論內容。這個領域要讓人行動,你不需要戲劇;你需要一個數字。」
Michael Heinrich 也呼應了同樣的觀點:他是 0G Labs 的聯合創辦人兼執行長,指出自 2020 年基準以來,DeFi 借貸安全性約已改善 98%。Heinrich 也強調主要借貸協議的每日損失率已大幅下降,目前約為 0.001%,作為另一項削弱 Aráoz「所有 DeFi 都不安全」言論的因素。
Heinrich 告訴 Bitcoin.com News:「要讓散戶退出 Aave、Maker 這類藍籌,卻不符合實際的風險調整後圖景。」
在反對 DeFi 的論點中,Aráoz 坅稱,人工智慧(AI)編碼代理在掃描開源智慧合約、並以機器速度辨識可被利用的複雜缺陷方面已變得極其先進。由於這些代理帶來的威脅極大,他私下建議朋友與家人,應該徹底退出大型、長期建立的「藍籌」DeFi 協議中的部位。
靜態稽核的終結
然而,Heinrich 與 Fan 都認為,即便超人級 AI 攻擊者崛起,也不代表防禦方應該就此棄船。相反,他們表示,這需要產業在安全做法上進行根本性的轉變。
Fan 說:「即時(point-in-time)的稽核已經死了;只是大家還沒辦喪禮。他警告說,把重心完全從稽核轉到錯誤賞金(bug bounties)是錯誤的教訓。『你不可能用監控取代預防——你會縮小兩者之間的落差。』」
Heinrich 指出,倚賴年度稽核已不再是可信的防禦。相反,智慧合約安全的未來,仰賴的是機器速度、分層的防禦防線流程:稽核作為第一個檢查點,而不是一次性的事件。他概述了一個四層的安全堆疊:事前部署前以 AI 協助的稽核並搭配人工審查、部署後的持續監控、資金充足的錯誤賞金,以及防禦方側可驗證的 AI。
Heinrich 提到,最終目標是在關鍵路徑上導入形式化驗證——用數學證明取代主觀審查——並搭配在真實合約上持續運行、由 AI 增強的審查流程,其方式與攻擊者的運作相同。
他說:「稽核不會消失。它們會成為機器速度防禦防線流程中的第一個檢查點。」
在超越預防型安全流程之外,關於風險緩解的討論不可避免會轉向保險——Heinrich 指出,這在加密生態系中仍嚴重未被充分發展。依據 Heinrich 的說法,幾個結構性障礙讓去中心化保險領域受到限制。首先,保險池會鎖定資本,這些資本本可以在其他地方賺取主動式收益、用於 DeFi。
為了說明這一點,Heinrich 指向市場領導者 Nexus Mutual;它持有約 1.9 億美元的資金,對應的是一個較廣泛的 DeFi 市場,該市場的總鎖定價值(TVL)在 400 億美元到超過 1,000 億美元之間波動。Heinrich 表示,這種資本比率在結構上偏薄。另一個障礙是界定什麼算是鏈上可利用(on-chain exploit),而他形容這並非一件輕鬆的工作。
儘管存在這些障礙,Heinrich 主張,對協議強制施行保險規定並不是推動採用的正確工具。相反,產業必須在產品層面進行創新。
Heinrich 說:「真正推動指標的,是能在可驗證的訊號上自動給付的參數式鏈上產品,以及把保險整合進產品中的協議——就像傳統市場的清算費一樣。」
監管的是營運,而不只是程式碼
雖然目前的安全網較狹窄,但市場需求正在加速。依據 Coinlaw 在 2026 年 3 月的預測,去中心化保險市場預計到 2029 年將成長將近五倍。
Heinrich 說:「資金正在進來。缺少的是用來部署它的產品面向。」
產業內部朝向機器速度防禦與自動化安全網的轉變,也引發了更廣泛的監管監督問題。隨著政策制定者對數位資產安全性的審視日益加深,Fan 警告監管機構可能會過度聚焦在錯誤的威脅上,例如惡意 AI 系統的幽靈。
Fan 說:「更聰明的監管直覺並不是特別針對 AI 攻擊者而恐慌。重點在於金錢真正外流的營運層:金鑰託管、多重簽名(multisig)治理、跨鏈安全,以及事件回應。」
Fan 主張,只要在這些特定向量上強制要求嚴格的營運安全標準,監督機構就能消除絕大多數的現實世界資本損失。他警告說,如果只專注在智慧合約程式碼、卻忽略日常營運,就等同於「規管了 10%,卻錯過了 90%」。
此外,Fan 也指出一個技術基礎(primitive),政策制定者一直低估:先進的密碼學。
Fan 說:「加密證明,例如零知識證明,用來證明程式碼執行了什麼、而且確實正確執行,比起一份 PDF 稽核報告,會是一個更好的合規基礎。它是可以用數學來驗證的,不是靠信任。這就是我希望監管資源投入的地方。」
