292M DeFi 攻擊後的安全重設
Kelp DAO 2920萬美元級攻擊後,DeFi 開始收緊治理、抵押與安全規則,機構資金也更在意風險控制。
Kelp DAO 的 2.92 億美元攻擊,讓 DeFi 重新檢查安全、治理和抵押規則。
這次不是單純被盜錢而已。它發生在 Morpho、BlackRock、Uniswap 這些名字都在往鏈上靠的時候。說真的,時機爛到不行。
問題也不只在損失金額。這種事件會直接撞上機構的風控流程。你可以想像一下,資產管理公司、法遵、稽核、投資委員會,全都會開始問同一件事:這套系統到底靠不靠得住。
| 指標 | 數值 | 意義 |
|---|---|---|
| Kelp DAO 攻擊損失 | 2.92 億美元 | 這次事件直接打到 DeFi 的信任底線 |
| Apollo Global Management 資產規模 | 9,000 億美元 | 顯示機構資金真的在看鏈上市場 |
| Janus Henderson 資產規模 | 約 5,000 億美元 | 代表大型資產管理人已經把鏈上金融當正事 |
| RWA 市場成長 | 自 2025 年起成長 6 倍 | 代幣化真實世界資產正在吃進 DeFi 核心 |
為什麼這次攻擊特別傷
訂閱 AI 趨勢週報
每週精選模型發布、工具應用與深度分析,直送信箱。不定期,不騷擾。
不會寄垃圾信,隨時可取消。
Kelp DAO 事件打到的,不是只有一個協議。它打到的是整個 DeFi 的敘事。以前大家還能把攻擊說成「加密原生風險」。現在不行了。因為鏈上已經開始接觸基金、信貸、票據,還有各種 RWA。
講白了,DeFi 已經不是只有幣圈人在玩。它現在碰到的是會看資本保護、合規文件、治理紀錄的機構。這些人不會因為你有高 APY 就閉眼進場。他們先看的是,出事時誰負責,規則能不能擋住攻擊。
這也是為什麼這次損失會放大成信任問題。攻擊者不需要打穿全部系統。只要找到治理、橋接、抵押或權限管理其中一個洞,就能讓整個市場開始懷疑。
- 攻擊發生時,機構採用鏈上產品正在升溫。
- 大型資產管理公司已經開始測試代幣化市場。
- 安全漏洞現在會直接影響百億級資金的判斷。
- DeFi 的失誤,會被拿去跟傳統金融的風控比。
Janus Henderson 旗下創新主管 Nick Cherney 的說法很直接。他說這是「a speed bump for sure, but not a roadblock」。
“This is a speed bump for sure, but not a roadblock,” said Nick Cherney, head of innovation at Janus Henderson.
這句話很有意思。它不是在替 DeFi 洗白。它是在講,機構不會因為一次攻擊就完全退出。可是他們會要求更多控制。更嚴的門檻,會變成新常態。
DeFi 接下來要補什麼洞
Gauntlet 的安全主管 Paul Vijender 提到一個很現實的點。DeFi 和鏈上資產管理,活在敵意環境裡。每個弱點都會被掃描。每個治理動作都可能被盯上。
所以問題不是「要不要加安全」。問題是「安全要加幾層」。如果只有單一保護,出事時就會整包炸掉。你不能只靠一個多簽,或只靠一個 timelock,就以為萬事大吉。
真正有用的做法,是把風險拆開。讓錯誤不會一路傳染。讓治理變更不能太快。讓權限不會集中在少數人手上。這些聽起來很無聊,但金融本來就該無聊。
- Zero-trust 架構,預設所有東西都不安全。
- 治理 timelock,避免改版被快速塞過。
- 更嚴格的 multi-signature 權限控管。
- 更硬的抵押規則與 bridge 安全機制。
Re7 Capital 創辦人 Evgeny Gokhberg 的看法也很直白。他認為這些不能再只是「最佳實務」。它們要變成底線。
這差很多。最佳實務是有空再做。底線是你不做就別上線。對想碰機構資金的協議來說,這條線只會越來越硬。
機構到底在意什麼
Centrifuge Labs 執行長 Bhaji Illuminati 說得很準。傳統金融花了幾十年,才慢慢堆出今天的風控、法規和清算流程。DeFi 想在更短時間內補齊這套東西,壓力本來就很大。
機構不是只看收益。他們看的是資產歸屬、法律包裝、審計可讀性,還有市場壓力下的流動性。你如果只能在平穩行情跑得順,一遇到波動就卡死,那對大資金沒什麼吸引力。
所以現在的重點,不是把 DeFi 說得多潮。重點是把信任做成可驗證的東西。可以查、可以算、可以稽核。這才是機構會買單的語言。
- 可驗證的抵押品。
- 可預測的 smart contract 行為。
- 壓力情境下還能維持的流動性。
- 符合合規需求的法律結構。
CoinDesk 引用 RWA.xyz 的資料指出,RWA 市場自 2025 年起已經成長 6 倍。這不是小數字。這代表鏈上金融不再只是幣圈內循環,而是真的開始碰到資產管理主流程。
也因為這樣,安全事件的意義變了。以前是協議掛了,社群抱怨一下。現在是協議出包,機構就會重新算風險權重。
誰會先改,誰會被淘汰
我覺得接下來最先變的,不會是什麼華麗的新協議。會先變的是預設值。更多 timelock。更多治理審批。更硬的抵押門檻。更清楚的事故揭露流程。
這會把 DeFi 分成兩群。第一群是能接機構資金的協議。它們會更保守,也更難看。第二群還是會吸引交易者,但很難拿到大型資產管理人的錢。這個分化,八成只會越來越明顯。
如果你是開發者,我的建議很簡單。不要只寫收益頁面。把你的風控寫清楚。把權限、升級路徑、緊急停止機制、審計紀錄都攤開。能講清楚的專案,才有機會碰更大的資金。
這場攻擊留給 DeFi 的考題
這次事件不是 DeFi 的終點。它比較像一次強迫校正。市場已經不是只看誰 APY 高。現在還要看誰的治理慢一點、誰的權限少一點、誰的失誤不會擴散成災難。
下一輪真正有機會的團隊,會是那些把風險做得很無聊的人。很土,但很重要。因為當 Apollo、BlackRock 這種級別的資金繼續往鏈上走,協議就不能再靠「社群信任」撐場面了。
如果一個協議不能用白話說清楚自己的安全機制,那它大概還沒準備好接機構錢。這句話很硬,但我覺得很實在。你會先信一個會講風控的團隊,還是只會講故事的團隊?