當你使用 DeFi，你實際上在信任什麼

DeFi 看起來的樣子和它實際上的樣子之間的落差，已經造成了這個生態系統歷史上一些最大規模的財富損失。不是因為用戶粗心，而是因為信任結構從外部真的很難看清楚。這篇文章嘗試讓它變得可見。

第一層信任：智能合約

當你把資金存入 DeFi 協議，你的資金由智能合約控制，一個部署在區塊鏈上、按照程式碼執行的程序。沒有公司持有你的資金，沒有員工可以介入，也沒有客服電話。合約在所有情況下，自動地做它說會做的事。

這是 DeFi 與傳統金融不同的地方，也是它毫不留情的地方。

智能合約可以被審計。在部署之前，安全公司會審查程式碼中已知的漏洞模式，許多協議已被多家公司審計過。審計降低已知風險，但不能消除未知風險。Euler Finance 在 2023 年 3 月儘管接受了多次審計，仍損失了約 1.97 億美元。Rhea Finance 在 2026 年 4 月通過滑點保護中的邏輯漏洞損失了約 1,840 萬美元。同月的 Kelp DAO 橋接攻擊，通過被入侵的基礎設施抽走了 2.92 億美元，而那個基礎設施完全在被審計的程式碼之外。

信任智能合約，意味著信任那段程式碼在每一種情況下都按預期運作，包括開發者沒有預料到的情況、他們沒有預見到的與其他合約的交互，以及審計員沒有檢查到的邊緣案例。審計證書告訴你在它被撰寫時已知的東西，它不告訴你可能發生的所有情況。

第二層信任：預言機

大多數 DeFi 協議需要知道資產的當前價格才能運作。借貸協議需要知道你的抵押品是否仍然比你的債務更有價值，清算機制需要知道一個倉位何時跌破閾值，收益策略需要知道資產之間的匯率。

這些價格數據來自預言機，將外部信息帶入區塊鏈的系統。預言機可以是從去中心化交易所活動衍生的鏈上價格饋送，也可以是把價格推入合約的鏈下數據提供者，或兩者的組合。

如果預言機被操控或報告了錯誤數據，協議基於那些數據做出的所有決定也會出錯。閃電貸攻擊經常通過操縱協議從單一流動性來源讀取的價格信號來運作，讓抵押品看起來比實際更有價值，或以錯誤的價格觸發清算。使用時間加權平均價格的協議對此更有抵抗力，從單一來源讀取即時價格的協議則更脆弱。從用戶的角度來看，這些差異在介面上是看不見的。

第三層信任：橋接

如果你的資產從一條區塊鏈跨到另一條，你在信任一個橋接系統，一個驗證源鏈上發生了什麼、然後在目標鏈上採取對應行動的系統。橋接不在任何一條區塊鏈上，它是兩者之間的連接，它的安全性取決於它使用的驗證機制。

2026 年 4 月 Kelp DAO 的橋接被攻擊時，攻擊者沒有破解智能合約程式碼。他們入侵了負責向橋接提供驗證數據的節點，讓合法節點下線，然後向唯一剩餘的驗證者發送偽造數據。橋接完全按照自己的規則執行，只是那些規則基於虛假的信息。46 分鐘內，116,500 枚 rsETH，價值 2.92 億美元，轉移到了攻擊者控制的地址。Kelp DAO 那篇文章詳細介紹了這個事件。這裡的要點更簡單：每次你的資產跨越一條橋，你都在信任那條橋的驗證系統說了真話。

第四層信任：可組合性

DeFi 協議被設計成可以互相連接。你可以在 Lido 上質押 ETH，收到 stETH，在 Aave 上把 stETH 存為抵押品，以此借出 USDC，把那個 USDC 存入 Curve 上的收益策略，再收到一個代表你在那個策略中倉位的代幣。每一步都增加了收益，每一步也增加了一個信任層。

這種可組合性是 DeFi 最常被引用的優勢之一，也是它最容易被低估的風險之一。

當 Kelp DAO 的橋接被入侵時，rsETH 的完整性在源頭被破壞了。但 rsETH 已被 Aave 整合為可接受的抵押品資產。Aave 與 Kelp DAO 的橋接基礎設施沒有直接關係，它只是接受了一個依賴那個基礎設施的代幣。當橋接失敗時，Aave 持有了實際上沒有支撐的抵押品。Aave 凍結了 rsETH 市場，SparkLend 和 Fluid 跟進，Lido 暫停了其 EarnETH vault，約 60 億美元在隨後幾天離開了 Aave。倉位與 Kelp DAO 毫無關係的用戶，因為他們的協議整合了 rsETH，也受到了影響。

可組合性鏈條中某個環節失敗的波及範圍，不以失敗發生的地方為界。它延伸到每一個接受了那個失敗系統輸出的協議。

正常情況下隱藏了什麼

在正常情況下，上面描述的信任鏈實際上是看不見的。協議靜靜地結算，預言機無事故地更新，橋接驗證和處理不出差錯，收益出現在你的餘額中。沒有任何東西浮現來提醒你注意你的資本正在走過的路徑有多長，或它依賴的系統有多少。

這種不可見性不是設計缺陷，而是運作良好的基礎設施的感覺。問題在於，它可能造成用戶以為自己在信任什麼，也就是介面和他們存入的協議，與他們實際上在信任什麼之間的落差。後者包括它下面整條鏈中的每一個系統。

壓力事件消除了這種不可見性。整條鏈一次性變得可見，通常是通過一次凍結、抵押品價值的急劇下跌，或一筆無法處理的提款。到那時，你在信任什麼這個問題已經有了答案。

這不是反對 DeFi 的論點

理解 DeFi 的信任結構，和得出 DeFi 不值得使用的結論，是兩個不同的問題。

這裡描述的信任層是真實的，但它們在不同協議之間差異巨大。有些智能合約在多個市場週期中無事故地運行了多年，有些預言機系統既穩健又去中心化，有些橋接有強健的驗證機制和長期的安全記錄，有些可組合性鏈條短而清晰。其他的則很長、很複雜，依賴歷史有限的系統。

重點不是所有這些風險都一樣，或者它們總會發生。重點是它們存在，而且從介面上看不見。你看到的 APY 數字沒有反映它們，存入按鈕不會要求你確認已了解它們。

在你存入之前

在把資金存入任何 DeFi 收益產品之前，有幾個問題值得好好想一想。

你的資本要經過幾個協議才能產生所提供的收益？如果協議 A 把資金存入協議 B，協議 B 以協議 C 的價格數據為基礎借款，那你在信任這三個，還有為 C 提供數據的預言機，以及你的資產到達那裡所跨越的任何橋接。

如果其中一個系統出問題，你的倉位會怎樣？不是災難性地，只是錯誤地。預言機在二十分鐘內報告了錯誤的價格，橋接處理了一條偽造的消息，某個協議因為安全審查而暫停。這對你提款的能力有什麼影響？

鏈條中的關鍵基礎設施運行了多長時間，它的安全記錄怎麼樣？

這些問題都沒有簡單的答案，其中一些即使做了合理的調查也找不到答案。DeFi 介面讓你看到收益，但看不到你為此將承擔的風險。