DeFi voltou a ser duramente atingido: protocolos como Balancer, Stream Finance foram roubados 231 milhões de dólares, StakeWise recuperou milagrosamente 19 milhões de dólares

去中心化金融（DeFi）再度迎来至暗时刻。过去数日内，Balancer、Stream Finance 等多家协议接连遭遇安全事故，合计损失高达 2.31 亿美元。令人意外的是，StakeWise DAO 成功利用合约回收机制与多签治理工具，追回约 1930 万美元资金，而 Stream Finance 因 CeDeFi（中心化 + DeFi 混合模式）曝出 9300 万美元离链亏损，导致其稳定币 xUSD 脱锚，最低跌至 0.3 美元。两起事件形成鲜明对比，揭示了当前 DeFi 安全体系的两种未来方向。

DeFi 再陷黑暗时刻：2.31 亿美元资金遭遇黑客攻击

过去一周，DeFi 市场经历了新一轮安全危机。

Balancer 协议在 11 月 3 日确认其 V2 组合稳定池（Composable Stable Pools）遭受攻击，损失金额介于 1.1 亿至 1.28 亿美元之间，波及多条区块链。

与此同时，Stream Finance 宣布冻结所有存取款操作，其外部资金管理人曝出高达 9300 万美元的离链亏损，导致其锚定美元的稳定币 xUSD 发生严重脱锚，一度暴跌至 0.3~0.5 美元区间。

两起事件相隔仅数小时，却精准刻画出当下 DeFi 的“安全两极”：

• 一边是 StakeWise DAO 展示的去中心化防御体系正在发挥作用；
• 另一边是 Stream Finance 所暴露的 CeDeFi 模式结构性风险正在爆雷。

美联储式救援？StakeWise DAO 成功追回部分资金

StakeWise DAO借助其智能合约与治理系统，成功从 Balancer 攻击中追回约 1930 万美元 osETH 以及 170 万美元 osGNO。 DAO 团队通过应急多签机制执行了一系列回收交易，将 5041 枚 osETH 与 13495 枚 osGNO 收回至协议控制下。

StakeWise 表示将按照黑客事件前的用户余额进行 比例分配（pro-rata），尽可能减少投资者损失。 值得注意的是，这一系列操作仅用数日完成，远快于传统金融体系中漫长的法律追偿流程。

这种快速反应得益于 DeFi 的原生治理机制与智能合约可编程性，包括：

• 应急多签（Emergency Multisig）：授权有限的签名人可在紧急情况下执行关键操作；
• 合约级回收函数（Contract-level Clawback）：可在链上反转指定交易；
• DAO 快速投票执行机制：在一个区块周期内即可完成治理决议。

这些机制使得 StakeWise 成为少数在大型攻击中实现部分资金回收的项目之一，也证明 DeFi 的自我修复体系正在逐步成熟。

另一面：Stream Finance 暴露 CeDeFi 模型的致命缺陷

与 StakeWise 不同，Stream Finance 的崩溃并非源于智能合约漏洞，而是源于“CeDeFi 模型”的结构性问题。

该协议依赖外部资金管理人进行收益农场（Yield Farming），但缺乏实时风险监控与透明抵押数据。

当外部管理人出现亏损或操作错误时，协议无法通过链上治理或智能合约手段追回资金，导致完全失控的离链风险（Off-chain Risk）。

此次事件中，9300 万美元资金在链外消失，任何验证者协调、DAO 投票或合约回滚都无济于事。

xUSD 的暴跌揭示了“伪去中心化稳定币”的风险本质：用户被动依赖链外机构，却缺乏监督、审计与追偿手段。

这一类混合模式往往承诺“链上透明 + 传统收益”，但在实质上牺牲了 DeFi 最核心的信任中立与去中心化特征。

技术与治理的两极：DeFi 的“安全剧场”

Balancer、StakeWise 与 Stream 三者事件的对比，本质上是 DeFi 安全体系的一次压力测试：

• 一方验证了去中心化应急架构的有效性；
• 另一方则揭示了“中心化收益模型”的脆弱性。

Berachain 的反应同样值得关注。该链运行着类似 Balancer 的资金池系统，在事件发生后，验证者紧急执行了 网络暂停（Network Halt） 和 硬分叉回滚（Hard Fork Rollback），隔离受影响合约并在数小时内恢复运行。 这一举措虽高效，但依赖于高度中心化的共识协调机制，不具备长期可持续性。

从治理层面来看，DeFi 正在构建一套“事后防御系统”：

• 可在攻击发生后迅速冻结、追踪或回收部分资产；
• 但仍难以阻止跨链、多阶段的高级攻击。

即使在最理想情况下，StakeWise 追回的 1930 万美元也仅占总损失的约 15%，仍有超 1 亿美元资金无法追回。

DeFi 的风险新周期：安全机制的副作用

随着应急多签和回收机制的普及，DeFi 的“安全底线”有所提高，但也引发新的道德风险。

部分协议可能因此降低前期审计投入，依赖事后治理来补救损失。

这种趋势或将引起监管关注：

• 若 DAO 有能力冻结或回滚交易，是否意味着其承担类似“受托责任（Fiduciary Duty）”？
• 这将引发监管机构要求更严格的风险披露、储备证明（Proof-of-Reserves）与许可化治理。

对投资者而言，尽职调查（Due Diligence）的重要性被再次放大。

在缺乏实时风险仪表盘、透明抵押监控和链上储备证明的情况下，任何“高收益 DeFi 产品”都可能隐藏灾难性风险。

宏观背景：攻击频率激增，DeFi 仍是黑客首选目标

据 Chainalysis 数据，截至 2025 年年中，全球加密货币盗窃案已超过 21.7 亿美元，预计全年或将突破 40 亿美元。 DeFi 协议仍是主要攻击目标，原因在于：

1. 高流动性：智能合约持有大量可即时转移资产；
2. 复杂组合性：跨协议交互带来连锁漏洞；
3. 开源风险：攻击者可公开研究协议逻辑与漏洞。

每一次大型攻击，都是对整个生态安全架构的真实压力测试。

未来展望：DeFi 自愈力的验证

当前的对比极具象征意义：

• StakeWise 模型 代表了去中心化治理与快速应急机制的胜利；
• Stream 模型 则揭示了 CeDeFi 的“信任幻象”与中心化脆弱点。

DeFi 的未来将取决于哪一类架构在下一次“九位数攻击”中幸存：

1. 链上自治型（On-chain Native）：依赖智能合约与 DAO 治理快速响应；
2. 混合收益型（Hybrid CeDeFi）：依赖外部基金管理人和传统金融逻辑。

市场将用资金投票：谁能在危机中保住用户资产，谁就能赢得信任。

结语

DeFi 的战场从未平静。StakeWise 的成功回收证明了去中心化架构的生命力，而 Stream Finance 的坍塌提醒我们，透明与自治依然是 DeFi 最珍贵的防线。面对日益复杂的攻击与监管挑战，唯有强化链上治理、安全审计与风险披露，DeFi 才能在下一轮黑天鹅事件中继续存活。