你在 DeFi 协议里放了多少钱？

「just use Aave」，这是在加密圈流传很久的一句口头禅，意思是：「别玩那些花里胡哨的小协议了，风险太高，just use Aave 就好，Aave 审计多、跑了这么多年、是行业标杆，放里面是相对安全的。」但这句口头禅，如今似乎也变得不那么理所当然了。甚至出现了「'just use Aave' is dead」、「以太坊叙事失灵」甚至「DeFi is dead」这样的反义句。

市场有这些情绪化的表达，在 4 月这个加密行业被盗事件频发的月份里，似乎也并不奇怪。

2026，史上被盗案最多的一年

这个月才过去了三分之二，虽然 BTC、ETH 的币价都在慢慢往上走，但加密市场一连串被盗的数字还是非常惊人的。

4 月份不到 20 天的损失加总，超过 6.05 亿美元，至少 12 个协议受到攻击，几个比较知名的事件包括：

4 月 1 日，Solana 上最大的永续合约交易所 Drift Protocol 在 12 分钟内被盗 2.85 亿美元，成为 2026 年截至当时最大的单笔 DeFi 攻击。

4 月 10 日，去中心化 GPU 云基础设施 Aethir 检测到针对其 ETH 跨链桥合约的恶意攻击，及时切断了受损合约，损失控制在 9 万美元以内。同日，Hyperbridge 遭遇验证漏洞攻击，攻击者伪造跨链消息，铸造并抛售了 10 亿枚桥接 DOT 代币，造成约 250 万美元损失。

4 月中旬前后，多个小型协议接连中招。Silo Finance 因预言机配置错误损失 39.2 万美元；桥接聚合器 Dango 遭智能合约漏洞攻击损失 41 万美元；NEAR 网络上一个攻击者提前两天准备了 423 个钱包和 8 个假流动性池来操纵预言机，最终盗走约 1840 万美元。

4 月 18 日，Kelp DAO 被盗 2.92 亿美元，刷新了 2026 年 DeFi 被盗纪录。

「2026 年将极有可能成为有史以来被盗最多的一年」，Ledger 安全负责人 Charles Guillemet 这么说到。

这一观点很可能成真，原因不在于 DeFi 变得更脆弱，而是因为攻击者获得了新武器——AI。

盗 2.9 亿美元前两周，AI 就已经发现了漏洞

过去一年，AI 驱动的漏洞利用价值大约每 1.3 个月翻一倍，单个合约的扫描成本已经降到 1.22 美元。攻击门槛的塌方，或许才是 2026 年创纪录的真正原因。今年 4 月，Anthropic 披露其内部模型 Claude Mythos Preview 自主发现了主流操作系统和密码学库中的数千个零日漏洞，漏洞利用成功率 72.4%，而此前任何 AI 模型接近于零。

图解：纵轴是模拟被盗金额（对数坐标），横轴是时间，展示了过去一年 10 个前沿 AI 模型在知识截止日期后的合约上，漏洞利用收益大约每 1.3 个月翻一倍的趋势。阴影区域是 90% 置信区间。

一个典型的案例是：就在 Drift 被黑后的第二天，一个叫 Zengineer 的开发者，用 Claude Code 写了一个 AI 开源的风险审计工具 Skill，用公开数据（DeFiLlama、链上合约、治理文档、Safe API）评估协议的架构级风险，并自动与 Ronin、Harmony、Euler、Beanstalk 等历史攻击模式进行比对。

他认为 Drift 这次，以及近期大多数 DeFi 大额被盗事件，根本没有利用任何 Solidity 代码漏洞。真正的致命弱点在治理架构、管理员密钥权限、跨链桥验证器配置，这些「非代码」层面的安全盲点，是传统审计公司的代码扫描器天然看不到的，而他做的这个工具可以。

在 Kelp DAO 被盗的 12 天前，他曾用这个工具对 Kelp DAO 跑了一次完整审计，报告给出 72 分（中等风险），标记了五个主要问题，包括「DVN 配置不透明：LayerZero 验证节点数量、门槛未公开披露」、「16 条链的单点故障： DVN 一旦失效，所有链上的 rsETH 同时失去担保。」、「与 2022 年分别被盗 6 亿美元和 1 亿美元的 Ronin、Harmony 攻击场景高度相似」、「治理覆盖范围不明」、「无保险基金： 协议没有任何损失吸收机制，一旦出事，下游协议自行承担」等。

Zengineer 的报告中提及的关于 Kelp DVN 配置的问题

12 天后，4 月 18 日，Kelp 被黑，根本原因正是那个 1-of-1 DVN 配置，报告第一条标记的风险。

律动 BlockBeats 发现，Zengineer 的这个 AI 开源的风险审计工具 Skill，目前已在 DeFiLlama 前 100 大 TVL 协议中的 56 个跑完完整审计，除了 Kelp DAO，还发现了几个有高危风险的协议包括：审计陈旧的 JustLend（TVL 33 亿美元）；DWF Labs 关联、保险基金仅有 TVL 0.6% 的 Falcon Finance（TVL 16 亿美元）；治理结构未披露、母公司曾遭 DNS 劫持的 Grove Finance（TVL 28.7 亿美元）；以及 2/3 多签、零时间锁、匿名团队的 Camelot。

这些协议今天没有出事，并不代表它们是完全安全的，很可能只是攻击者还没有找到切入口。

攻击一个合约的成本只要 1.22 美元？

「加密遭黑客攻击的发生频率已达到历史最高水平。我认为这与 AI 有关。AI 正在赋予黑客「黑暗的超能力」。防御必须尽快跟上，我们已经没有时间了。」Bankless 联合创始人 Ryan Sean Adams 警告道。

去年 10 月，Anthropic 研究人员做了一组实验，让 Sonnet 4.5 和 GPT-5 扫描 2849 个刚部署、没有任何已知漏洞的真实智能合约。两个模型各自独立发现了 2 个此前未知的零日漏洞，并生成了对应的攻击方案，模拟获利 3694 美元。GPT-5 完成这一切的 API 成本约为 3476 美元。不到 3500 美元的算力，就能在真实部署的合约里挖出新洞。

更令人警觉的是成本曲线，正如前文所提到的：过去一年，AI 模拟攻击的漏洞利用价值大约每 1.3 个月翻一倍，而生成有效攻击代码所需的 token 成本随着新模型迭代急剧下降。攻击方用同等预算，能得到越来越多的有效攻击。对单个合约的扫描成本，已经降至 1.22 美元。

这意味着什么？任何一个有几千美元算力预算的人，理论上都可以把 AI 代理指向数千个智能合约，让它自动扫描漏洞、生成攻击代码，全程不需要手写任何代码，不需要深厚的安全研究背景。

普通人成为黑客的门槛，大大降低了。

今年 4 月，Anthropic 披露了其内部研发、目前仅限 40 个精心挑选的企业和政府合作伙伴使用的模型 Claude Mythos Preview。它自主发现了主流操作系统、浏览器和密码学库中的数千个零日漏洞，包括 DeFi 协议底层依赖的关键基础设施。其中有一个漏洞在 OpenBSD 系统里潜伏了 27 年，存在于全球关键金融基础设施中，直到这个模型发现它。Mythos Preview 的漏洞利用成功率达 72.4%，而此前任何 AI 模型接近于零。

但 Anthropic 目前拒绝向公众发布这个模型，理由之一正是：如果发布，攻守双方的力量会失衡，黑客事件可能会让行业走向深渊。

另一个落地案例来自 AI 安全公司 Cecuro。他们分析了 2024 年 10 月至 2026 年初被黑的 90 个 DeFi 智能合约，涉及总损失 2.28 亿美元。其专用 AI 安全代理成功识别出 92% 合约中的漏洞，而运行同一底层模型的通用 AI 编程代理只识别了 34%。关键细节是，在这批合约中有数个在被黑之前已经过专业人工审计，而 AI 找到了人类审计员漏掉的洞。

攻击方的武器以指数级速度变强大，而防守方的基础设施明显落后于此。

以太坊，可能是最大受害者

再说回 Kelp DAO 被黑事件。

Kelp 的 rsETH，是以太坊再质押生态的产物。用户把 stETH 存进去，得到 rsETH，rsETH 可以在 Aave 上作为抵押品借 WETH，还可以跨链转移，在 20 多个网络上流通，这是 DeFi 可组合性魔力的展示。

但一体两面的是，攻击者只需要在最薄弱的地方撕开一道口子，整个乐高组合结构就会反向传导：假 rsETH 变成真抵押品，真 WETH 被借走，坏账留在 Aave，恐慌扩散到所有集成了 rsETH 的协议，SparkLend、Fluid、Lido 旗下的 earnETH 全部紧急暂停。

Aave 创始人 Stani Kulechov 第一时间声明：Aave 的合约本身没有被攻破，这是一次外部事件。这是实话。但实话是，Aave 的 WETH 借贷池使用率一度飙至 100%，普通存款人发现自己无法提款，TVL 四天内从 264 亿美元跌至 170 亿美元，流出了将近 100 亿美元，而 AAVE 也代币下跌了约 18%。

数据来源：DefilLama

数据来源：tradingview

但「Aave's contracts were not exploited」这句话，对那些被困在里面的流动性提供者来说没有任何安慰作用。就像 Cyvers CEO Deddy Lavid 一语道破的那样：「这是 DeFi 可组合性风险的体现，当一个协议的代币被集成到多个平台时，单一漏洞可以级联穿透整个生态系统。」

而这也或许就是以太坊 DeFi 叙事的结构性悖论所在。

以太坊最引以为豪的，是「可组合性」，是金融乐高，任何协议都可以像积木一样叠加。这既是它的核心价值，也是它的核心脆弱。每一层新的协议、每一个新的桥接、每一个新的抵押品类型，都在扩大整个系统的攻击面。而这种扩张，是无法被任何单一审计机构覆盖的。

「Kelp 的攻击者没有打破密码学，也没有找到智能合约的零日漏洞。他们利用了跨链验证器的一个配置选择，骗过了 LayerZero 的消息层，在以太坊主网上无中生有地铸出了 116500 个 rsETH。合约没有坏，是验证层坏了。这个区别至关重要，因为下一波攻击者不需要等待配置错误。他们会有 AI。」Brave New Coin 的分析师 Jason Jones 这样写道。

以太坊在这轮周期的价值叙事，主要有两个。一条是机构端的 RWA 和 ETF 叙事，黑石、摩根士丹利的代币化资产还在以太坊上跑，ETF 资金还在缓慢流入，这套叙述大体还在。但关于「以太坊是 DeFi 的基础结算层」，这个让无数散户持仓 ETH 的基本盘叙事，目前正在经历它最严峻的信任考验。

从市场反应来看，恐慌也确实已经超出了 Kelp 被黑事件本身，开始向整个 DeFi 生态扩散。Morpho、Sky、JupLend 全部出现了提款潮，哪怕它们和 Kelp 一毛钱关系都没有。

显然这是一场信任危机，而不是技术危机。

我们再回到开头那个问题。你在 DeFi 协议里放了多少钱？

如果你的回答是「不多，就当玩玩」，那么你可以当无事发生。但如果你的仓位不小，那可能得重新审视 DeFi 行业：DeFi 项目的安全模型是「部署前审计一次」，但如今 AI 现在可以在部署后持续扫、实时找新洞，而且越来越便宜。

这不是在说以太坊没有未来。以太坊的链没有被黑，Aave 的代码没有漏洞，Uniswap 今天还在正常运行。但「just use Aave」这个假设，在一个 AI 驱动、可组合性层层叠叠的攻击环境里，是需要重新审视的事。

乐高积木上下游的安全性是能传导的，且没有人能保证所有积木都是绝对安全的。