DeFi 黑客攻击下降80%，但多链漏洞成为新风险

去中心化金融在过去六年间已变得安全许多。一项针对2020年至2025年协议损失的最新回顾，以具体数字印证了这一说法。

全行业DeFi损失于2022年达到峰值26.2亿美元，到2024年已下降约80%至5.34亿美元。曾经制造亿级新闻头条的跨链桥黑客攻击，如今仅占年度总损失的一小部分。如今典型漏洞攻击所造成的损失，约为峰值时期的四分之一。

尽管链数和用户增加，损失依然下降

数据中令人鼓舞的一点是，低成本、可重复的攻击已基本被消除。尽管DeFi的TVL持续攀升，总损失在两年内仍下降了80%。每起事件的中位损失从2022年的600万美元降至2025年的150万美元，降幅达75%。

2025年独立事件数量上升至83起。黑客攻击事件数量增多，但每起事件造成的损失却大幅减少。这大致符合一个趋于成熟的安全领域应有的状态。

跨链桥是2021年和2022年的核心漏洞。仅在2022年，九起跨链桥漏洞攻击就造成了19亿美元的损失。Ronin桥单独造成6.24亿美元的损失。跨链桥黑客攻击占当年DeFi总损失的73%。到2025年，跨链桥所占份额已骤降至3%。改进的验证机制、去中心化的验证节点集，以及向原生跨链消息传递的转变，共同推动了该类别的萎缩。

闪电贷攻击也走上了同样的下降轨迹。它们在2020年占所有损失的54%。到2025年，占比已不足1%。各协议采用了针对此类攻击的专项防御措施：时间加权平均价格、Chainlink预言机集成、重入锁，以及假定攻击者可在单笔原子交易内操纵价格的设计方案。

私钥泄露事件也出现类似的下降。从2022年占损失的28.7%降至2025年的8.1%。每一个类别的收缩，都源于行业识别出可重复的攻击模式并构建出标准化的应对方案。

剩余威胁更难防御

封堵通用型攻击后，遗留下来的是一个远更棘手的类别。2025年，89.1%的DeFi损失源于协议逻辑漏洞。这些都是针对特定应用程序设计方式的代码层面缺陷。跨链桥攻击涉及可识别的信任假设，闪电贷攻击属于已知攻击技术族群，两者均可通过可复用的模式加以防御。

协议逻辑漏洞本质上是定制化的。它源于单一代码库在数学逻辑、访问控制或可组合性选择上的特殊性。由于每个实例都是独立的难题，因此难以进行系统性防御。

多链部署将漏洞变为危机

多链部署会将此类定制化漏洞演变为全面危机。主要协议通常将相同代码部署至Ethereum、Base、Arbitrum、Polygon、OP Mainnet和Sonic。单一缺陷可同时耗尽所有运行该代码的网络上的资金。

2024年11月，我们亲历了这一幕——Balancer的V2可组合稳定池在不到半小时内，同时跨六条区块链被盗约1.28亿美元。据Check Point Research称，攻击者利用了流动性池不变量数学中的算术精度缺陷。他们将代币余额推至舍入边界，然后链式执行批量兑换，直至这些微小误差累积成全额耗尽。

含有相同漏洞的合约已被部署至Ethereum、Arbitrum、Base、Polygon、Sonic和OP Mainnet。漏洞利用之所以能同时波及所有网络，是因为缺陷嵌入于代码本身，而该代码已被复制至各处。十一次独立审计均未能发现该漏洞。

ImmuneFi的报告将2021年约6.11亿美元的Poly Network漏洞事件与2025年的Balancer事件直接串联起来。Poly Network是系统连接节点处的失败，而Balancer则是相同逻辑在共享代码、签名路径和验证假设的网络中以相同方式失败的体现。

安全评估方式已改变

一旦某条链成为主要协议默认部署图谱的一部分，它便承接了所有托管内容的风险面。报告将多链漏洞攻击的全部损失归属于每条受影响的链。六个网络的所有参与者均承受了全部影响。

2025年Polygon、OP Mainnet、Base和Sonic的黑客攻击数据受Balancer级联事件影响显著。报告完全剔除了中心化交易所的失败案例。年度最大单笔盗窃案——FBI归咎于朝鲜的15亿美元Bybit黑客攻击，被认定为托管失败而非协议失败。

以损失与TVL之比衡量，主要生态系统中最安全的梯队为Ethereum（约0.42%）、Solana（0.42%）和BNB Chain（0.33%）。这三大最大的DeFi生态系统表明，规模扩张与安全提升正携手并进。

损失如今可能发生于携带外部引入缺陷的应用程序之中。使多链应用程序具有吸引力的便利性，正是使这一失误从局部错误演变为共同错误的根源。加密货币部分出于摆脱对单一系统依赖的目的，分拆出了独立的链。然而，在所有链上运行相同的少数热门协议，已重建了这些链本意要摆脱的集中化风险。

下一起重大事件在发生当天或许看似微不足道——只是某个广泛部署协议中的单一逻辑漏洞。只有当人们意识到同一段存在漏洞的代码一直潜伏于六个网络之上时，其真实规模才会显露出来。

The post DeFi hacks drop 80% but multi-chain flaws emerge as new risk appeared first on TheCryptoUpdates.