OpenZeppelin共同創辦人Manuel Aráoz 2026年5月26日宣布「全部DeFi都唔安全」,原因係AI編碼代理搵漏洞能力超人,防守方要修補所有Bug,攻擊方只需一個漏洞就搞掂,造成致命嘅結構性不對稱。 觸發警告嘅係2026年4月,DeFi史上最血腥一個月:超過25宗事故共損失約6.3至6.47億美元,包括KelpDAO跨鏈橋漏洞被盜2.93億美元,以及Drift Protocol俾北韓黑客組織「拉撒路集團」社攻騙走2.85億美元。

Create a landscape editorial hero image for this Studio Global article: What prompted OpenZeppelin co-founder Manuel Aráoz to declare "all of DeFi" unsafe, what specific incidents and evidence supported his warni. Article summary: On **May 26, 2026**, OpenZeppelin co-founder Manuel Aráoz posted on X that he now considers **"all of DeFi" unsafe** and advised friends and family to withdraw all funds, including from blue-chip protocols like Aave, Mak. Topic tags: general, general web, news, user generated. Reference image context from search candidates: Reference image 1: visual subject "A circular diagram highlights the core principles of OpenZeppelin AI, Standards & Expertise, emphasizing phases like architecting, building, supporting, and securing, with specific" Reference image 2: visual subject "OpenZeppelin Founder Warns: DeFi Is Unsafe" source context "DeFi Is Unsafe Says OpenZeppeli
2026年5月26日,加密貨幣界最受信賴嘅安全審計公司OpenZeppelin共同創辦人Manuel Aráoz講咗句業界最唔想聽嘅大實話。佢喺社交平台X發文,宣布佢認為「全部DeFi都唔安全」,仲話自己私下一直叫親朋戚友撤走所有資金,包括Aave、MakerDAO同Compound呢啲一直被視為藍籌嘅協議 。
呢個警告唔係杞人憂天。背後係一個極之殘酷嘅現實:2026年4月剛創下咗超過一年嚟DeFi黑客攻擊損失最慘重嘅紀錄,攻擊者利用緊一個全新嘅威脅環境作案 。
Aráoz嘅論點聽落簡單,但就因為咁先得人驚。智能合約嘅安全不嬲都係攻防不對稱,但人工智能(AI)嘅出現將呢種不對稱變成咗一個結構性陷阱。防守方必須搵出並修復協議代碼、基礎設施同治理機制入面每一個漏洞;但攻擊方只要用AI編碼代理搵到一條可以利用嘅路徑就夠 。
Aráoz寫道:「編碼代理搵漏洞嘅能力係超人級別。智能合約安全嘅不對稱實在太大:防守方要修補所有Bug,攻擊方只需要一個漏洞就可以偷走資金。」
呢個唔係靠做多次審計就搞得掂嘅Bug。呢個係AI輔助攻擊改變咗整個遊戲玩法之後衍生嘅結構性特徵。以往嘅防禦手段——開源透明、多次獨立審計、形式化驗證——都係設計畀一個人對人,攻守方勢均力敵嘅時代。AI徹底改寫咗呢條數 。
Aráoz嘅警告並唔係憑空爆出嚟。2026年4月發生咗一連串攻擊,總共令DeFi協議損失約6.3億至6.47億美元,涉及超過25宗獨立事件——係自2025年2月損失14.7億美元以來,單月損失最慘重嘅一次 。
Drift Protocol — 2.85億美元(4月1日)
4月一開波就爆出咗一場被指同北韓「拉撒路集團」(Lazarus Group)有關嘅精密社交工程攻擊。攻擊者用咗大約六個月時間,慢慢取得Drift安全委員會成員嘅信任,最後呃佢哋預先簽署咗授權交易,攞到特權訪問權限。一攞到控制權,攻擊者就存入一隻假代幣做抵押品,然後喺大約10秒內,由呢個建基於Solana嘅去中心化交易所(DEX)度清走咗約2.85億美元 。
呢次唔係智能合約出Bug。係治理架構嘅人為失守。
KelpDAO — 2.93億美元(4月18日)
2026年最大宗嘅DeFi漏洞攻擊降臨喺KelpDAO嘅LayerZero跨鏈橋上。攻擊者鑄造咗116,500個rsETH——當時價值約2.93億美元——然後用呢批代幣做抵押品借出真ETH,再通過THORChain轉走 。區塊鏈分析公司Chainalysis後來判斷,呢次攻擊暴露咗鏈下驗證機制嘅弱點,而唔係傳統嘅智能合約失效
。
攻擊發生後48小時內,恐慌嘅用戶引發咗提款潮,令DeFi總鎖倉價值(TVL)瞬間蒸發數十億美元。最大嘅借貸協議Aave即刻凍結咗佢喺多個版本入面嘅rsETH市場 。
Wasabi — 管理員密鑰失守(4月)
4月第三宗重大事故針對Wasabi,涉及一個被入侵嘅管理員密鑰,觸發咗整個協議嘅骨牌效應。同Drift及KelpDAO加埋一齊,呢三場攻擊代表咗三種截然不同嘅「非代碼失效」類別——社交工程、鏈下驗證弱點同基礎設施失守 。
安全分析員留意到,2026年造成損失嘅漏洞類別——存取控制失效、代理升級漏洞同跨鏈橋攻擊——全部都係2020年嗰陣幾乎唔存在嘅攻擊向量 。
數字老實咁描繪咗個實況。DeFi總鎖倉價值(TVL)由2025年10月約1700億美元嘅高位,跌咗超過50%,去到2026年5月中嘅約380至430億美元——係自FTX爆煲以嚟最嚴重嘅收縮 。有追蹤平台顯示5月尾TVL係820.8億美元,同樣反映咗資產價格受壓同真正嘅資金撤離
。
Aráoz喺5月26日發出嘅警告,引發咗新一輪由緊張嘅散戶同機構用戶帶動嘅資金外流,呢班人本來仲抱住一絲希望,以為老牌協議仍然安全。現實係,就連OpenZeppelin自2015年起一路幫手保護嘅協議——Aave、MakerDAO同Compound——而家都俾最熟悉佢哋代碼嘅安全專家貼咗「唔安全」嘅標籤 。
面對呢場生死存亡嘅危機,DeFi業界發動咗有史以嚟其中一次最齊心嘅協調式回應。
「DeFi United」救市基金。
由Aave牽頭,超過30個協議同公司——包括Mantle、Consensys、Lido、EtherFi同Compound——承諾投入超過3億美元嘅以太幣(ETH),用嚟填補KelpDAO漏洞攻擊後嘅壞帳同恢復rsETH嘅資產儲備 。呢個行動收集到超過43,500 ETH嘅認捐承諾,單係Mantle就提出借出最多30,000 ETH俾Aave DAO
。渣打銀行(Standard Chartered)公開讚揚呢次行動係生態系統成熟嘅證據
。
Arbitrum前所未有嘅介入。
Arbitrum安全委員會做咗個極具爭議性嘅決定:凍結同轉移約30,766 ETH、嚟自KelpDAO攻擊嘅可追溯贓款——而且係喺冇攻擊者私鑰嘅情況下進行。呢次係Layer 2網絡歷來其中一次最激進嘅鏈上干預 。
緊急協議暫停。
KelpDAO喺發現入侵後數小時內,暫停咗主網同所有L2網絡上嘅所有合約。Aave亦凍結咗佢V3同V4版本上嘅rsETH市場,防止出現骨牌式清算 。
監管壓力升溫。
歐盟金融監管機構開始草擬DeFi協議嘅緊急發牌要求,而美國財政部則放風話會加強監管處理超過5000萬美元用戶資產嘅協議 。
Drift Protocol康復計劃。
Tether宣布承諾撥出1.275億美元,為Drift用戶成立一個同收入掛鈎嘅康復資金池,係DeFi史上最大規模嘅穩定幣發行商救助行動之一 。
就算業界出盡法寶自救,核心論點始終冇被駁倒。Aráoz嘅警告唔係講緊暫時性嘅漏洞攻擊潮,或者有幾個協議需要做更好嘅審計。呢個係一個結構性診斷:由AI驅動嘅攻擊者已經永久改變咗安全方程式,而業界到目前為止仲未展示到有可比性嘅防守突破 。
經歷過2026年4月而生存到落嚟嘅協議,而家要喺一個咁樣嘅世界營運:社交工程可以喺幾秒內清走2.85億美元;跨鏈橋驗證器可以被欺騙去鑄造2.93億美元嘅假抵押品;AI代理掃描新漏洞嘅速度,快過任何人類審計團隊可以修補得到。除非呢種不對稱可以由根本層面解決——透過架構設計、治理重新規劃同AI驅動嘅防禦——否則Aráoz嘅警告將會繼續成立。
Studio Global AI
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
OpenZeppelin共同創辦人Manuel Aráoz 2026年5月26日宣布「全部DeFi都唔安全」,原因係AI編碼代理搵漏洞能力超人,防守方要修補所有Bug,攻擊方只需一個漏洞就搞掂,造成致命嘅結構性不對稱。
OpenZeppelin共同創辦人Manuel Aráoz 2026年5月26日宣布「全部DeFi都唔安全」,原因係AI編碼代理搵漏洞能力超人,防守方要修補所有Bug,攻擊方只需一個漏洞就搞掂,造成致命嘅結構性不對稱。 觸發警告嘅係2026年4月,DeFi史上最血腥一個月:超過25宗事故共損失約6.3至6.47億美元,包括KelpDAO跨鏈橋漏洞被盜2.93億美元,以及Drift Protocol俾北韓黑客組織「拉撒路集團」社攻騙走2.85億美元。
恐慌性撤資令DeFi總鎖倉價值(TVL)從2025年10月高位1700億美元暴跌超過50%至380至430億美元,業界緊急成立「DeFi United」自救基金,獲Aave、Consensys等超過30間機構認捐超過3億美元以太幣,試圖為rsETH重建資產儲備。