跳转到内容
YieldScope
获取利率提醒

DeFi 收益不是免费的:2026年的黑客事件教会我们哪些借贷风险

一次2.92亿美元的黑客攻击引发 Aave 90亿美元流出、一家在被攻破一年后关闭的借贷平台、一场稳定币传染。2026年的 DeFi 教训——以及在追逐收益前如何评估它。

newsdefilendingrisksafety 2026-06-23 · 阅读约 8 分钟 · YieldScope Research

DeFi 借贷打着加密领域最诱人的一些收益旗号——往往远高于中心化平台所付的。这份溢价是真实的,但它存在的原因也同样真实。2026年是一位残酷的老师,精准地教会你究竟在为承担什么而获得报酬。三个事件道出了这个故事。

2026年的警钟

KelpDAO 黑客事件——以及从 Aave 逃离的90亿美元。 2026年4月18日,攻击者从连接 KelpDAO 的 LayerZero 跨链桥中抽走约 116,500 rsETH(约 2.92 亿美元)。随后他们通过 DeFi 上的借入头寸提取了合法的 ETH。随之而来的恐慌才是真正的教训:在一个周末内,约 90 亿美元从 Aave 流出——最大的 DeFi 借贷平台。Aave 本身并未被黑。它只是被恐慌波及。

Radiant Capital 关闭。 2026年6月1日,借贷协议 Radiant Capital 宣布清盘。它始终未能从 2024年10月的5000万美元黑客攻击 中恢复——既追不回资金,也筹不到足够资本重建信任。一年半前的一次入侵最终终结了这个平台。

msUSD 传染。 6月,msUSD 稳定币脱锚 蔓延到一个共享储备验证方的独立协议 Altura——迫使它关闭一个 $39M 金库,尽管它没有直接敞口。同一个主题:互联把一次失败变成数次。

教训一:智能合约风险是底层

每一份 DeFi 收益都建立在代码之上。代码可能有漏洞,而跨链桥——在链之间移动资产的管道——多年来一直是加密领域被利用最多的部分。KelpDAO 的资金抽取发生在跨链桥,而非你可能在用的那个借贷应用。当你存入一个 DeFi 协议时,你信任的不仅是该协议的代码,还有它连接的一切。

审计有帮助,但不是保证。Radiant 经过审计。诚实的说法是:审计降低已知类别漏洞的概率,但不能让协议无法被黑。

教训二:传染——你暴露于你的平台所接触的一切

这是让人意外的教训。你的借贷平台可以完全有偿付能力,却仍因它依赖的某物崩溃而给你糟糕的一周。

Aave 没被黑,却在一个周末流失90亿美元。Altura 对 msUSD 没有敞口,却不得不关闭金库。DeFi 协议是可组合的——它们互相借贷、共享预言机、共享跨链桥、共享验证方。这种可组合性是创造收益的魔法,也是把恐慌从一次失败传到下一次的线路。当你选择一个平台时,你也在选择它所接入的一切,无论你是否看得见。

教训三:黑客攻击可能在一年后杀死平台

Radiant 的崩溃是安静却重要的那个。黑客攻击在2024年,关闭在2026年。一次入侵的损害很少只是被盗的金额——而是信任、流动性和维持运营所需资本的缓慢失血。一个"挺过"黑客攻击的平台并不自动安然无恙。正确的问题不只是"它曾被黑过吗?",而是"它是否完全恢复了——储备、用户和信心?"

这正是为什么历史记录是 YieldScope 每个 A–F 评级背后五项检查之一。干净的多年历史是信息。混乱的也是。

教训四:最高的 APY 往往最未经实战检验

这一切之中有一个规律。令人咋舌的 DeFi 收益往往集中在更新的协议、奇特的策略和复杂的抵押物上——正是那些出错面最大的配置。一个长期运行、经过深度审计、深度流动的协议上那个无聊、更低的收益之所以更低,正是因为它承担的这类风险更少。

这不意味着高收益永远是陷阱,也不意味着蓝筹 DeFi 无风险。它意味着利率是关于风险的线索,而非免费午餐——而没有上下文的数字是最危险的那种。

CeFi 借贷也并非免疫

人们很容易把这一切读成"DeFi 危险,中心化平台安全"。这是错误的教训。中心化借贷方制造了加密史上一些最大的投资者损失:Celsius、Voyager 和 BlockFi 都在2022年冻结提现并破产,带走了数十亿用户资金。只是失败方式不同。不是智能合约漏洞,而是你看不见的不透明风险承担——再抵押、坏账、未披露的杠杆——直到提现停止的那一刻。

DeFi 至少让你在链上检查代码和抵押物。CeFi 要求你信任一家公司你永远看不到的内部决策。两者都能宣传诱人的收益;两者都能让你的本金血本无归。所以有用的框架不是"DeFi 对 CeFi",而是"我在承担什么具体风险,我能看见它吗?"在链上,你面对的是至少部分可验证的合约和传染风险。在链下,你面对的是大多无法验证的对手方风险。

这也是为什么分散到两个世界——以及每个世界内的多个平台——胜过追逐单一的最高数字。2022年损失一切的人,通常把全部放在一个恰好支付最佳利率的地方。分散很无聊,却是你能获得的最便宜的风险削减。这一切都不是反对赚取收益的论据;它是支持有意识地赚取收益的论据——知道你的平台在链上还是链下、它依赖什么、在过去压力下如何表现,以及你的资产有多少压在任何一个地方。

如何真正评估 DeFi 收益

在为某个 DeFi 利率存入之前,过一遍这些:

  • TVL 与流动性。 深厚、稳定的锁仓总值意味着你想退出时真能退出。流动性薄的地方才会发生挤兑和闪电清算。
  • 审计——要多份且近期。 多年前的一份审计很弱。多份、持续的审查更好。核实它们存在;别信营销的一面之词。
  • 压力下的历史记录。 协议经历过市场崩盘或漏洞攻击尝试并继续运作吗?
  • 依赖项。 它依赖哪些跨链桥、预言机和其他协议?每一个都是额外的失败点。
  • 收益从何而来。 真实的借款需求是可持续的;靠代币增发或杠杆撑起的收益不是。如果你无法解释来源,就把利率当作警告。
  • 仓位规模。 传染是真实的——别把全部集中在一个协议或一条链上。

结论

DeFi 收益不是免费的钱;它是为承担智能合约风险、传染风险,以及一次可能一年后才浮现的入侵的安静长尾而付出的报酬。2026年没有证明 DeFi 已崩坏——许多协议安然穿过了混乱。它证明的是:单看利率几乎什么都说明不了,而功夫在于理解它底下是什么。

YieldScope 上把 DeFi 和 CeFi 收益与安全评级(含历史记录)并排比较;关于同一问题的中心化一面,请阅读 加密质押安全吗?

非投资建议。DeFi 带有可能导致全部损失的智能合约和传染风险。请自行研究。

教育性内容,并非财务或法律建议。文中已附上信息来源链接。

不错过任何指南

几乎每周都有新指南,外加周一的最佳利率摘要。无垃圾邮件。

继续阅读

全部指南