为什么借贷协议仍然是DeFi黑客的主要目标：67起历史性漏洞解析

去中心化金融（DeFi）借贷领域面临持续的安全挑战。在已有的267起DeFi事件中，借贷协议占据了67起单独的漏洞事件——成为被攻击最频繁的去中心化金融细分领域。这种攻击集中反映了借贷应用中部署的资金规模以及其操作架构的固有复杂性。

DeFi借贷市场的黑客规模

借贷平台因多种结构性因素而吸引了大量不法分子的关注。这些应用通常托管大量稳定币或高价值抵押品，如以太坊和比特币。大部分链上借贷的无许可特性，加上对智能合约自动化的依赖，为利用提供了多个潜在入口。

闪电贷机制允许用户在单一交易中即时借入资产，已多次被用作攻击手段。同样，价格预言机数据源和清算机制的漏洞也成为资金盗窃的有效途径。一些平台通过发行新代币作为利息奖励，增加了铸币漏洞的风险。在借贷平台总锁仓价值达530亿美元的背景下，攻击者的经济激励依然巨大。

智能合约：DeFi协议的致命弱点

技术实现缺陷是借贷领域损失的主要原因。在过去的12个月到2026年初，智能合约漏洞直接造成了5.26亿美元的损失，涉及48起事件。这一模式强调，尽管安全审计具有重要价值，但无法完全消除区块链应用固有的风险。

第二大漏洞来源是私钥被盗或多签钱包被攻，占比虽低于技术代码缺陷，但影响依然重大。即使经过专业安全审查的项目也曾遭遇重大漏洞——审计协议累计损失5.15亿美元，未在审计范围内的漏洞则造成1.93亿美元的损失，未审计智能合约在24起事件中被盗金额达7700万美元。

多重攻击路径：从闪电贷到价格操纵

价格操纵策略在审查期间造成了13起事件，损失达6500万美元。这些攻击通常利用借贷协议对实时价格数据的依赖，通过人为抬高或压低抵押品估值，触发清算或未授权借款。

实际案例显示持续存在的风险。例如，Moonwell协议因其价格预言机架构缺陷遭受攻击。在历史上前30起黑客事件中，58.4%的案件由未审计代码引发，然而仅靠专业审计并不能完全防范复杂的攻击策略。

审计状态并不能保证DeFi免遭黑客

被审查协议中持续出现漏洞，表明区块链应用面临的安全挑战与传统软件截然不同。每个DeFi平台都暴露出多个输入路径，并与外部数据源交互，扩大了攻击面，超出传统代码审计方法的覆盖范围。

同时，用户层面的威胁也在增加。复制的去中心化交易所（DEX）大量出现，其中一些被虚假宣传为真正去中心化，实际上托管用户存款并收取提取费，成为另一种盗窃手段。这些平台利用DeFi的无许可环境，同时引入了中心化控制点。

理解这些利用模式——无论是技术漏洞、预言机失效还是社会工程学——对于参与者评估平台安全性和资本配置决策至关重要。