4 月，加密行业因攻击造成的损失已经超过 6 亿美元。 其中影响最大的两起事件，来自 Drift Protocol 和 Kelp DAO，损失规模都接近 3 亿美元。Kelp 的情况尤其值得注意。 目前公开分析显示，攻击者并没有直接攻破智能合约，而是绕过了跨链消息验证流程。随后，被盗的 rsETH 又被存入 Aave 作为抵押品，借出真实 ETH，把风险进一步传导进整个 DeFi 流动性体系。 之后市场开始避险撤资， @aave 也联合多家协议发起了 “DeFi United” 救助计划，目前募资已经达到目标。归根结底，链上从来不存在真正的“旁观者”。 与这件事同时发生的，是 AI 正在把安全问题的攻防双方推进新的时代。 最近关于 Claude Mythos 的讨论很多。虽然一些能力描述还缺乏充分独立验证，但趋势已经很明显：未来无论是漏洞发现还是攻击生成，都会越来越自动化。 AI 正在同时强化攻击者和防御者。但那终究是协议方、审计方、基础设施团队的战争。 对普通用户来说，更值得重新思考的，其实是另一件事： 我们拿到的收益，究竟在给什么定价？ 很多时候我们会很自然地把高年化理解成机会。但现在我越来越觉得，很多收益本质上只是风险的另一种表达。5% 和 20% 的差别，很多时候不代表“效率更高”，而代表你在替系统承担更大的不确定性。 DeFi 里最危险的地方恰恰在这里，它的风险大多数是尾部风险。平时低频、沉默、几乎感知不到，所以很容易被忽略，甚至被默认为不存在。但尾部风险的特点就是：它不按频率收费，它按烈度结算。 可能稳定赚了两年，最后在一天之内全部归零。而那两年积累的每一个百分点，其实都是在替这一天的风险定价。 玩 DeFi 之前，先想清楚自己能承受多少损失，再反推值不值得为这个收益率冒险。