DeFi 收益不再「高枕無憂」:駭客攻擊頻傳,隱藏成本正重塑加密市場風險定價
編輯核心觀點
- ✦2026 年第二季,DeFi 領域因駭客攻擊損失高達 7.8 億美元,顯示資安風險已從偶發事件演變為持續性的「流動性稅」。
- ✦市場對 DeFi 風險的定價模式正從事後補救轉向即時溢價,用戶與機構在追求高收益的同時,必須將跨鏈橋、預言機等基礎設施的潛在漏洞納入考量。
- ✦安全支出不再只是防禦性成本,而是吸引流動性的關鍵「分銷成本」,促使協議投入更多資源強化資安,以重建用戶信任並維持市場競爭力。

去中心化金融(DeFi)以其誘人的高年化收益率(APY)吸引了無數交易者與流動性提供者,然而,一項隱藏的成本正悄然浮現,逐漸侵蝕這些看似豐厚的報酬:那就是因駭客攻擊而產生的「流動性稅」。這筆稅金並未直接顯示在資金池的 APY 數據中,卻實實在在地反映在跨鏈橋、私鑰管理、前端介面、預言機以及智能合約邏輯等各個環節中,這些都是 DeFi 運作時潛在的失敗點。
對於用戶和流動性提供者而言,現在的問題已不僅僅是追求高收益,他們更需要評估,為了這些額外收益,願意承擔多少技術、營運和治理上的風險。
駭客攻擊頻傳,DeFi 隱藏成本浮現
根據區塊鏈數據分析平台 DeFiLlama 的駭客追蹤器數據,光是 2026 年第二季(截至 6 月 30 日),DeFi 領域就發生了 88 起已知金額的駭客攻擊事件,總損失高達 7.803 億美元。其中,四月份的損失最為慘重,達到 6.448 億美元,而五月和六月也分別增加了 6,050 萬美元和 7,490 萬美元的損失。這使得第二季的資安狀況,不再像是一次性的巨大衝擊,反而更像是一場持續不斷的壓力測試,即使在頭條新聞熱度消退後,風險警報依然長鳴。
截至 6 月 30 日,所有已知金額的駭客攻擊事件累計總損失已達 166.5 億美元。其中,針對 DeFi 協議的攻擊佔了 78.5 億美元,而針對跨鏈橋的攻擊則佔了 32.6 億美元。
單就 2026 年第二季的數據來看,DeFi 協議目標的攻擊損失為 7.358 億美元,而跨鏈橋攻擊則造成了 3.534 億美元的損失。儘管 DeFiLlama 的數據可能存在跨鏈橋與協議目標重疊、部分條目金額不完整等情況,但其傳達的訊息清晰可見:駭客攻擊風險遍布於所有使 DeFi 可用的路由、權限、介面和驗證系統之中。
2026 年第二季 DeFiLlama 數據概覽:
- 第二季總事件數:88 起已知金額攻擊
- 第二季總損失:7.803 億美元
- DeFi 協議目標攻擊:61 起,損失 7.358 億美元
- 跨鏈橋攻擊:19 起,損失 3.534 億美元
- 基礎設施類攻擊:15 起,損失 6.514 億美元
- 協議邏輯類攻擊:73 起,損失 1.288 億美元
- 每月損失:四月 6.448 億美元,五月 6,050 萬美元,六月 7,490 萬美元
風險定價模式轉變:從事後補救到即時溢價
第二季的駭客攻擊事件,將資安問題轉化為 DeFi 產品的「價格輸入」要素。基礎設施層面的攻擊事件造成了大部分的已知美元損失,而協議邏輯層面的漏洞則導致了大部分的事件數量。這種區分改變了風險的定價方式:協議邏輯錯誤可能被視為單一應用程式內的程式碼品質問題,但基礎設施損失則截然不同。
基礎設施損失觸及了跨鏈橋、簽名系統、跨鏈訊息傳遞、管理員權限、熱錢包以及其他資本在不同平台間移動所使用的共享介面。當這一層面承受壓力時,DeFi 通常的收益計算方式就顯得不夠全面。一個資金池可能提供更高的回報,但用戶仍需自問,這條通往高收益的路線是否依賴於他們無法即時評估的跨鏈橋、預言機、前端、簽名者集合或管理路徑。
做市商只有在價差足以彌補透過這些「軌道」移動資產的營運風險時,才能維持跨鏈流動性。這標誌著市場從「事後補救」轉向「即時風險溢價」的定價模式。參與者正在重新評估「保持連結」的成本。這筆費用不再僅限於燃料費、滑點或借貸成本,它還包括了在資金流動過程中,權限、路由或驗證層可能失效的風險。
這種重新定價的過程可能悄無聲息地發生。一個平台或許維持其宣稱的年化收益率,但由於用戶要求更快的退出機制、保險或對跨鏈橋風險的補償,實際回報可能會下降。市場可以透過流動性變薄、價差擴大以及更昂貴的激勵措施來表達這種觀點,而無需等到正式的資安評分出現。
跨鏈橋成安全破口,信任成本納入交易考量
跨鏈橋的風險暴露是這場壓力測試中最容易觀察到的部分。第二季跨鏈橋相關的攻擊損失高達 3.534 億美元,這使得跨鏈路由不再僅僅是便利性的問題。如果資本必須穿越跨鏈橋或訊息層才能抓住機會,那麼路由本身就成為交易的一部分。
最近的跨鏈事件已經顯示,這會如何迅速影響用戶行為。KelpDAO 和 LayerZero 攻擊事件的餘波,促使項目方重新思考其安全基礎設施。而 THORChain 在一次攻擊後暫停運作,則揭示了問題的另一面:當路由信任崩潰時,系統可能會先停止運作,再進行問題排查。
對用戶而言,流動性可能會轉向那些路由更容易理解、跨鏈橋風險較低,或深度足以避免脆弱路徑的平台。對於聚合器和做市商來說,路由邏輯可能越來越需要將安全假設與價格、深度和燃料費一同納入考量。這可能導致某些跨鏈橋和跨鏈平台即使仍在運作,其資本成本也會更高。流動性仍可透過它們移動,但可能會要求更寬的價差、更明確的保險、更強大的驗證系統或更短的風險暴露時間。在 DeFi 領域,這就是風險溢價在成為明確成本項目之前所呈現的樣貌。
同樣的邏輯也會影響協議的發布策略。一個準備推出新市場的協議,可能會認為速度不如對跨鏈橋依賴性、管理員權限或預言機路徑進行第二次審查來得重要。流動性提供者可能會偏好較少的區塊鏈,如果每增加一條路由都會增加新的安全假設。這些決策單獨來看可能微不足道,但它們共同決定了流動性將在哪裡形成,以及哪些平台的使用成本會變得昂貴。
保險也處於這個循環之中。如果承保人與用戶開始將跨鏈橋風險視為一種經常性營運風險,那麼保險覆蓋範圍就成為另一個信號,表明哪些平台能夠大規模吸引流動性。無法清楚解釋其安全假設的協議可能仍能運作,但它們可能會因這種不透明性而付出流動性深度較低或激勵成本更高的代價。
安全支出不再是選項,而是營運與信任的基石
市場反應也改變了協議內部的運作。過去,安全支出常被視為防禦性措施:審計、漏洞獎勵、監控、事件響應和緊急控制。但像 2026 年第二季這樣的季度,讓安全成為「分銷成本」的一部分。如果用戶能夠分辨哪個平台更安全,那麼安全就成為資本選擇駐足地點的關鍵因素。
資安問題的廣泛性超越了單純的程式碼品質。TRM Labs 的分析指出,2026 年加密貨幣盜竊價值集中在少數幾起大型事件中。CertiK 在 2026 年針對穩定幣威脅的研究則強調了錢包、跨鏈橋、託管和支付基礎設施的風險暴露。Chainalysis 也強調了私鑰和簽名基礎設施、社交工程以及被盜資金透過洗錢管道快速移動等威脅機制。儘管這些公司衡量的是不同的數據範疇,且 Chainalysis 引用的盜竊總額基於 2025 年數據,但其共同點仍具參考價值:DeFi 風險不僅限於糟糕的 Solidity 程式碼。
它還包括了誰可以簽名、用戶在哪裡連接、跨鏈驗證如何運作、被盜資產可以多快被兌換,以及協議能否在攻擊者完成攻擊路徑前檢測到異常行為。這促使協議將安全支出視為更不可或缺的一部分。更大的漏洞獎勵、即時監控、保險覆蓋、提款限速、管理員密鑰控制、驗證系統審查、前端強化以及更清晰的事件通報,都成為「信任產品」的一部分。如果替代方案是在每次明顯的攻擊後付出更高的流動性成本,那麼這些安全措施也更容易向代幣持有者證明其合理性。
用戶行為的轉變是更為嚴峻的後果。DeFi 用戶長期以來接受智能合約風險是收益堆疊的一部分,但駭客攻擊的持續壓力改變了這種風險的感受方式。單一的駭客攻擊可能被視為個別平台的缺陷,但一個季度內頻繁發生的事件,則讓整個 DeFi 生態系統的「路由」都顯得昂貴。



