DeFi 的 7.7 億美元駭客危機凸顯了保險不足的風險

在 DeFi 中，追求收益已勝過風險防護，數十億美元因此暴露於駭客攻擊的風險之下。 從 2020 年「DeFi 夏天」的承諾——一個無需許可、透明且無中介的金融系統——至今，數千億美元的資金已透過去中心化協議流動。但這些流動性卻極度缺乏保險保障。根據 DeFiLlama 數據，自 DeFi 起飛以來，未投保的借貸協議已因攻擊損失 77 億美元，僅 2026 年 4 月單月就出現超過 6 億美元的安全損失，其中 Drift 和 Kelp DAO 攻擊成為當月的焦點。 為何保障如此稀少？ DeFi 保險規模與其意圖保護的領域相比微不足道。DeFiLlama 列出 28 個保險協議，但最知名的 Nexus Mutual 便佔據了整個領域約 1.235 億美元的總鎖倉價值（TVL）。這僅約占 DeFi 約 830 億美元市場規模的 0.14%。Nexus Mutual 創辦人 Hugh Karp 認為這是大規模採用 DeFi 的主要障礙：「不到 2% 的 DeFi TVL 得到保障或投保，」他對 CoinDesk 表示。 挑戰的一部分在於風險已演變。早期的保險產品針對智能合約漏洞定價與承保，這些漏洞相對容易審計。但攻擊者日益利用鏈下弱點——如私鑰遭竊、釣魚攻擊與社交工程——這些風險難以量化與定價。「多數最大型的攻擊都源於鏈下操作安全失敗，」Karp 說。這些失效模式難以標準化與核保，導致期權費上漲，使許多使用者無法負擔保障。 橋樑、抵押品與保障範圍的限制 Kelp DAO 攻擊——透過操縱橋樑獲取資產，再將其作為抵押品循環利用於 Aave 等借貸平台——凸顯了保險通常涵蓋的範圍與現代攻擊方式之間的落差。Karp 指出：「橋樑風險的核心失敗並不在保險涵蓋範圍內。」即使保單可能適用，保障通常間接且附條件：損失僅在觸發特定下游後果時才符合資格，例如因預言機凍結導致借貸市場出現壞帳。 為何使用者跳過保險？ 對許多 DeFi 使用者而言，算盤很簡單：收益比防護更重要。支付 2–3% 的期權費可能摧毀低利潤的收益策略，而絕大多數使用者都以收益為導向。「大多數 DeFi 使用者以收益為導向，不願為保障放棄數個百分點的回報，」CertiK 高級審計合夥人 Dan She 說。 保險模式的結構性弱點 除了使用者偏好，DeFi 保險的基礎本身就不穩固。許多保險協議建立在與攻擊者所利用的相同可組合基礎設施上，實質上是將交易對手風險疊加於交易對手風險之上。早期快速成長期間，保險 TVL 從 2020 年初約 300 萬美元暴增至 2021 年 11 月的 18.9 億美元，Nexus Mutual、Cover Protocol、InsurAce、Tidal Finance 和 Bridge Mutual 等玩家領軍推進。但多個協議已崩潰或停滯：Cover Protocol 遭駭並失敗；Armor.fi、Bridge Mutual 和 Tidal 則在 2021 至 2024 年間因不可持續的代幣經濟、治理問題與利益衝突而停擺或消失。 資本支持保險池也是一大弱點。「當攻擊發生時，支持保障的資本往往面臨與其承保協議相同的風險，因此在最需要時瞬間蒸發，」Altura 首席營運長 Matthew Pinnock 說。Spectra Finance 創辦人 Gaspard Peduzzi 補充道，以其他 DeFi 原生協議為 DeFi 提供保險，只是在既有風險之上疊加更多交易對手風險。 出事時誰來承擔損失？ 由於保障薄弱且資金池可能耗盡，損失最終總會有人承擔。Karp 描述了典型的攻擊後流程：協議的安全模組首先吸收初始損失，接著動用金庫資金；若仍不足，普通存款人將面臨減記。「實際上，當沒有保障時，成本不成比例地落在最不專業的參與者身上，」他說。 產業是否正在適應？ 已有初步改變跡象。一些團隊正試驗將保險直接嵌入 DeFi 產品中，而非銷售獨立保單。其他人則倡導更精準的保障範圍，專注於特定且明確理解的風險。一些專家甚至建議將傳統（鏈下）保險提供商引入此領域，以帶來非 DeFi 原生的核保專業知識與資本。 但改變是漸進的。DeFi 保險市場仍小，並非因為需求不存在，而是因為風險面複雜且持續演變。DeFiLlama 對攻擊方式造成的損失分析凸顯了這一點：私鑰遭竊造成最大比例的資金盜竊，其次是針對多重簽名錢包的釣魚攻擊。 總結 隨著駭客攻擊持續、損失累積，市場面臨一個嚴峻選擇：接受當前高收益與低防護之間的取捨，或開發更堅實、可能是混合型的保險解決方案，以實際涵蓋現代 DeFi 的攻擊方式。若後者未能迅速實現，保險缺口可能成為該領域成長的結構性阻力，並讓普通使用者承擔全部代價。