摘要
根据 Immunefi 发布的《2026年生态系统漏洞审计》,与漏洞利用相关的去中心化金融(DeFi)协议损失,已从 2022 年 26.2 亿美元的峰值下降 74%,至 2025 年的 6.803 亿美元。报告还显示,每起漏洞利用事件的损失中位数下降 75%,从 2022 年的 600 万美元降至 2025 年的 150 万美元;该公司称,这一指标更能体现安全状况的改善。Immunefi 表示,闪电贷预言机操纵以及影响可组合性层的重入攻击等生态系统级攻击,在总损失中的占比已从 2022 年的近 19% 降至 2025 年的不足 1%;与此同时,包括私钥泄露和数据库攻击在内的基础设施失误占比,也从 30.7% 降至 10.3%。跨链桥漏洞利用造成的损失占去中心化金融(DeFi)总损失的比重,已从 2022 年的 73% 降至 2025 年的 3%;闪电贷攻击占全部损失的比重,也从 2020 年的 54% 降至 2025 年的不足 1%。该公司表示,2025 年损失额较 2024 年的 5.34 亿美元小幅回升,并不意味着整体形势恶化,而是反映出多链部署的复杂性上升,以及少数严重事件的影响。Immunefi 首席执行官 Mitchell Amador 表示,行业正在吸取经验,但同时警告称,代码、签名者、基础设施、前端、预言机和部署实践等环节的共享依赖,加之事件数量上升,可能引发下一轮系统性失效。
术语与概念
- 闪电贷攻击: 利用无需抵押、即时到账的贷款,在单笔交易内操纵市场或协议逻辑的漏洞利用方式。
- 重入攻击: 在先前操作尚未完全完成前,反复调用存在漏洞的智能合约函数的攻击方式。
- 多链部署: 在多个区块链网络上推出的应用或协议,这会增加运营和安全复杂性。