KelpDAO 2.93 亿美元被黑：DeFi 的复杂度风险正成为致命伤

我从 2019 年就开始盯着 DeFi 领域了，这些年我学到最深刻的一点就是：所谓的“创新”，通常只是个礼貌的说法，其实背后往往意味着“我们又加了一层没人完全搞得懂的风险”。最近 KelpDAO 被黑 2.93 亿美元，这不仅仅是黑客攻击名单上的又一个案例，它简直是 DeFi 复杂度风险的教科书级样本。这说明这个行业终于撞墙了，因为现在的数学逻辑已经乱到没法安全管理。关于背景知识，可以看看我之前写的DeFi 钱包风险分析。

KelpDAO 到底发生了什么

如果你没深入研究过流动性再质押（Liquid Restaking）这些繁琐的细节，简单来说，KelpDAO 的设计初衷是让用户在赚取质押奖励的同时还能保持资金流动性。但问题在于，流动性再质押根本不是个简单的过程。它涉及到多层智能合约、第三方协议，以及像套娃一样的抵押品递归循环。

这次攻击者并不是在某一行代码里找到了简单的 Bug，而是利用了协议中不同组件之间的交互方式。通过操纵系统状态，他们成功抽走了近 3 亿美元。这不像传统的“闪电贷”攻击，而是一次系统在面对特定的、复杂的事件序列时彻底崩溃的失败。

什么是 DeFi 复杂度风险以及为什么它很重要

当我提到复杂度风险时，我其实在说那个“乐高积木”问题。在早期的 DeFi 时代，一个协议只做一件事。Uniswap 负责兑换，Aave 负责借贷，非常简单。但现在，我们面对的是一个协议叠在另一个协议之上，然后被包装成另一种代币，最后再存入一个收益优化器的局面。

每增加一层，就多了一个故障点。即便每一个单独的代码片段都经过了“审计”且“安全”，这些碎片组合在一起的方式却可能产生突发性的漏洞。这就像盖摩天大楼，虽然每颗螺栓都很坚固，但整体建筑设计极其不稳定，只要风向不对，整栋楼就会塌掉。

这种模式我见过很多次。之前我们分析过 Drift Protocol 被黑事件，那次风险在于代码之外的人为因素和管理权限。但 KelpDAO 不同，它的风险是直接写进了产品的底层逻辑里。

行业在哪个环节失效了

最大的问题是，大多数用户（甚至包括一些开发者）把审计当成了“合格证”。他们看到知名安全公司出具的 PDF 报告，就觉得钱安全了。但审计只是一个时间切片，它无法预测一个协议在波动市场中与另外五个实时运行的协议交互时会发生什么。

说实话，我真的厌倦了那种“快速行动，打破常规”的心态，尤其是当被“打破”的是人们的养老金时。目前的市场数据显示，情绪处于中立状态，恐惧与贪婪指数为 43，比特币主导地位在 60.25%。很多人选择躲在 BTC 里，因为他们意识到 DeFi 里的“高收益”往往伴随着极高的系统性风险。

如何在系统性崩溃中保护自己

如果你厌倦了看着 3 亿美元在几个区块内凭空消失，你必须改变持有资产的方式。我没法告诉你哪个协议绝对“安全”，因为在复杂的系统中，安全只是个幻觉。但我能告诉你，永远不要把你的核心持仓放在一个你从根本上没搞懂的协议里。

对于打算长期持有且不打算频繁操作的资产，请把它们移出链上，存入硬件钱包。我个人更倾向于使用 Ledger Flex，因为它的电子墨水触屏让误签恶意交易的可能性大大降低。249 美元虽然不是小数目，但比起因为复杂度漏洞而失去全部资产，这笔钱花得值。

我的最终看法

DeFi 终于得学会成熟了。通过堆叠十个不同协议来追求 20% 年化收益的时代即将结束，因为风险已经明显到无法忽视。我认为市场会转向“无聊”的 DeFi。简单、透明且经过长期实战检验的协议，最终会击败那些华而不实、复杂度极高的项目。

在那之前，请默认任何承诺“优化”或“多层”收益的协议，本质上都是在用你的钱做一场巨大的实验。如果你不能在 30 秒内用一张餐巾纸画出资金流向，那么它可能复杂到不安全。

在编辑精选的交易平台操作最新资讯：MEXC