安全分析师指出,2026年造成损失的新漏洞类别——访问控制失败、代理可升级性利用以及跨链桥攻击——是2020年时几乎不存在的攻击向量 [7, 9]。
数字描绘了一幅严酷的图景。DeFi 的总锁仓价值(TVL)已从2025年10月约1700亿美元的峰值下跌超过50%,至2026年5月中旬的大约380亿至430亿美元——这是自 FTX 崩盘以来最严重的收缩 [10, 19]。一家追踪机构显示,5月底 TVL 为820.8亿美元,仍反映了资产价格压缩和真实的资金撤出 [6, 22]。
Aráoz 于5月26日发出的警告,引发了来自焦虑的散户和机构用户的新一波资金外流,他们此前一直抱着已建立的协议仍然安全的希望。现实情况是,即便是 OpenZeppelin 自2015年以来一直帮助维护的协议——Aave、MakerDAO 和 Compound——现在也被那位最了解其代码的安全专家标记为不安全 [3, 11]。
面对生死存亡的危机,DeFi 行业发起了其历史上最为协同的应对之一。
“DeFi 联合”救助基金。 由 Aave 领衔,超过30家协议和公司——包括 Mantle、Consensys、Lido、EtherFi 和 Compound——承诺提供超过3亿美元的以太坊,以涵盖 KelpDAO 漏洞利用事件后的坏账并恢复 rsETH 的资产支持 [48, 52]。该倡议已筹集了超过43,500枚 ETH 的承诺,仅 Mantle 就提议向 Aave DAO 出借多达30,000枚 ETH 。渣打银行公开赞扬这一努力是“生态系统成熟”的证据
。
Arbitrum 的前所未有的干预。 Arbitrum 安全委员会做出了有争议的决定,在未掌握攻击者私钥的情况下,冻结并转移了 KelpDAO 攻击中大约30,766枚 ETH 的可追踪收益。这标志着一个 Layer 2 网络进行了最为激进的链上干预之一 [2, 49]。
监管压力骤增。 欧盟金融监管机构已开始为 DeFi 协议起草紧急许可要求,而美国财政部则暗示将加强对处理超过5000万美元用户资产的协议的监管 [7, 54]。
尽管付出了这些非凡的努力,Aráoz 的核心论点仍未受到驳斥。他的警告并非关乎一时的漏洞激增,或少数几个需要更好审计的协议。这是一个结构性的诊断:由 AI 驱动的攻击者已永久性地改变了安全等式,而行业尚未展示出可与之匹敌的防御性突破 [1, 6, 10]。
在2026年4月幸存下来的协议,如今运营在一个社会工程学能在几秒内盗走2.85亿美元、桥接验证器能被欺骗从而凭空铸造2.93亿美元虚假抵押品,并且 AI 代理能以比任何人类审计团队更快的速度扫描漏洞的世界里。在这种根本性不对称得到解决之前——无论是通过架构、治理的重新设计,还是由 AI 驱动的防御——Aráoz 的警告都将持续回响。