理解 Web3,不是为了投机,而是为了不被时代甩开
理解 Web3,不是为了投机,而是为了不被时代甩开
审计通过的协议仍然被黑的原因是什么
很多人把“审计通过”理解成“已经安全”,但在 DeFi 里更接近“做过体检”,而不是“永远不会生病”。审计能显著降低风险,却无法把风险归零:一方面审计有范围、时间和假设条件;另一方面 DeFi 的风险不只来自代码本身,还来自价格来源与经济激励的自洽程度。理解这三层结构,才能明白为什么“看起来很正规”的协议仍可能出事。
审计能解决什么,又解决不了什么
审计通常做的是:在特定版本的合约代码中,寻找已知类型的漏洞与明显的逻辑错误,并给出修复建议。问题在于,审计的“边界”决定了它解决不了很多现实风险。
第一,审计是对“某个时间点的代码”负责。协议上线后可能升级、添加新模块、调整参数,甚至只是换了一个外部依赖(比如某个价格源或跨链桥)。这些变化可能把新的风险带进来,而用户看到的仍是“曾经审计过”。
第二,审计不等于形式化证明。很多缺陷不是“写错一行代码”,而是系统在极端情况下出现未预料的路径:多合约交互顺序、边界条件、在拥堵时的执行差异等。审计能发现一部分,但很难覆盖所有组合。
第三,审计往往默认一些前提成立:管理员权限按规则使用、外部价格源可靠、流动性足够、参与者行为相对“正常”。而黑客攻击或市场踩踏,恰恰是利用这些前提被打破的时刻。
所以,“审计通过”更像一张风险清单被部分划掉,而不是风险消失。接下来三类结构风险,才是协议仍可能被黑或崩溃的核心原因。
DeFi 的三类结构风险:代码、预言机、经济模型
1)代码漏洞:一次失误,资金不可逆
DeFi 合约的特点是:一旦部署并掌管资产,很多操作是自动执行、链上结算、不可撤销的。即便后来发现问题,也可能已经发生资产转移。
常见的代码层风险包括:重入攻击(在状态更新前反复调用导致资产被多次取走)、权限错误(把关键权限暴露给错误的地址或缺少必要校验)、逻辑漏洞(某些条件下计算错误、抵押率判断失真、手续费或奖励分配异常)。这些问题有些能被审计发现,有些则藏在复杂的调用链或罕见的边界条件里。
更现实的一点是:协议往往不是单一合约,而是由路由、金库、借贷池、清算模块、治理模块等拼起来;任何一个模块的细小漏洞,都可能成为“撬动整个资金池”的入口。对普通用户来说,结果往往只有一个:资产被转走后,很难像传统金融那样通过撤销交易来追回。
2)预言机风险:价格一旦失真,清算就会“错杀”或被掏空
很多 DeFi 协议需要知道“某个资产现在值多少钱”,才能计算抵押率、是否触发清算、能借出多少、该发多少奖励。这个价格通常来自预言机或链上/链下的价格聚合。
风险在于:价格可能异常波动、延迟更新,或在某些交易对上被短时操纵。一旦价格源出现偏差,协议会把错误价格当成真实世界:该清算的不清算,或不该清算的被清算;更严重的是,攻击者可能利用短暂的价格扭曲,用极低成本借走大量资产,让坏账留在池子里。
这也是为什么你会看到“为什么 DeFi 协议会在极端行情出现连锁清算”这类现象:当价格剧烈波动、链上拥堵、预言机更新不及时,清算机制会像多米诺骨牌一样触发,流动性被快速抽干,剩下的人承担滑点与坏账。
3)经济模型风险:激励耗尽、套娃崩塌与通胀失衡
即便代码完美、价格源可靠,协议也可能因为“经济模型不自洽”而走向不可持续。很多协议的增长依赖激励:用代币补贴存款、借贷、做市或质押,吸引 TVL(锁仓量)。当补贴减少、代币价格下跌或市场情绪转弱,资金可能快速撤离,协议在流动性上变得脆弱。
常见的模型风险包括:
– 激励用完:收益骤降,流动性撤出,交易深度变差,进一步放大滑点与风险。
– 套娃结构崩塌:把一种资产抵押借出另一种,再循环放大杠杆;一旦价格回撤或清算效率下降,坏账会扩散。
– 奖励通胀:为了维持高 APR 不断增发代币,短期看“收益很高”,长期却可能稀释价值,最终无法支撑承诺的回报。
这些问题不一定表现为“被黑”,但会表现为:池子突然干、清算异常、利率剧烈变化、资产价格脱锚,最终让用户体验到类似的结果——想退出时退出不了,或退出成本极高。
CeFi 与交易所:黑箱托管下的兑付与提现风险
很多用户在 CeFi(中心化平台)里遇到的风险,和 DeFi 不同:DeFi 的规则写在链上,出事往往是“机制被利用或失灵”;CeFi 的核心是“托管与负债关系”。你把币存进去,本质上是把资产交给平台,平台在账面上“欠你一笔”,而不是为你单独保管同等数量的链上资产。
这带来四个典型风险:
– 挪用资金:平台可能将用户资产用于借贷、做市、投资或抵押融资。只要这些操作有期限错配或亏损,就会影响兑付能力。
– 兑付困难:资产在别处锁定、抵押或亏损,短期无法变现,用户集中提现时就会出现缺口。
– 流动性不足:即便总资产大于总负债,资产也可能是“卖不掉/卖了亏很多”的形式,导致短期现金流枯竭。
– 挤兑:当用户担心拿不回钱,提现会自我强化,最终把平台推向“只能暂停提现”的状态。
因此,“为什么加密平台会面临‘兑付压力’而无法兑现提现请求”并不神秘:它通常意味着平台的资产负债出现错配,或者资产流动性不足以覆盖短期集中赎回。
交易所还叠加了三层风险:
– 托管风险:交易所钱包里的资产由交易所控制私钥,用户实际上持有的是账户余额记录。
– 系统风险:撮合、风控、清算、钱包系统一旦出现故障或参数失灵,可能导致异常爆仓、无法成交或无法划转。
– 黑客攻击:一旦热钱包或关键系统被攻破,损失首先发生在交易所控制的资产池里,用户能否拿回取决于平台的准备金、赔付机制与后续处置。
当交易所“暂停提现”,对用户的含义通常不是“系统维护这么简单”,而是一个严肃信号:平台在某个资产或整体层面出现了流动性压力、合规/风控冻结、或安全事件处置。至于“破产”情形,则意味着用户往往从“资产所有者”变成“债权人”,需要按规则排队申报与清偿,结果取决于剩余资产与清算顺序。
收益从哪里来:谁在承担风险
理解“审计通过仍会出事”,最终要回到一个更底层的逻辑:收益不是凭空产生的,它对应着某种风险或成本由别人承担。
在 CeFi 里,高收益往往来自平台把用户资产拿去做投资、借贷、做市或期限套利。你拿到的利息,本质上来自平台承担(并转嫁)市场波动、对手方违约、流动性错配等风险。一旦亏损或挤兑发生,收益先消失,提现也可能受影响。
在 DeFi 里,收益通常来自交易手续费、借款利息、清算罚金、以及代币激励。这里的风险更多由参与者自己承担:
– LP 承担价格波动与无常损失,极端行情下还可能遇到流动性枯竭导致退出成本上升。
– 借贷参与者承担清算风险,预言机或拥堵会放大“被动爆仓”的概率。
– 代币激励的收益,常常对应通胀与价格波动风险。
所以,“审计通过”能降低代码层面的已知问题,但无法替你消除预言机失真、极端行情连锁反应、经济模型不可持续,以及托管平台的挪用与挤兑风险。把风险看成结构,而不是看成某一张证书或某一次背书,才更接近真实世界的运行方式。
