Stacked Markets
如果去中心化交易所(DEX)遭到黑客攻击,您的资金会怎样?链上风险详解
发布于 2026年5月31日 · 作者:Stacked Markets Research Team
目录
2026 年前四个月,超过 10 亿美元从 DeFi 流出。4 月 19 日,KelpDAO 因攻击者利用 LayerZero 桥漏洞抽干了 rsETH,损失了 2.92 亿美元。4 月 1 日,Drift Protocol 因 Lazarus Group 耗时六个月通过社会工程学手段诱导员工交出验证者级访问权限,损失了 2.85 亿美元。到 4 月中旬,累计损失金额已超过 7.5 亿美元。
问题不在于 DeFi 是否会被黑客攻击。它确实会反复发生,且规模不断扩大。真正的问题是,当攻击发生时,您的资金是否面临风险——而答案几乎完全取决于攻击发生时您的资金实际存放的位置。
本文将剖析三个关键的攻击层面,解释它们对您的资本意味着什么,以及托管架构如何决定您的风险敞口。
攻击者真正瞄准的三个层面
智能合约漏洞
持有或路由资金的代码存在逻辑缺陷。典型例子:重入攻击、闪电贷操纵、预言机价格操纵。2026 年,Dango 和 Silo V2 都遭受了智能合约攻击,攻击者在协议代码本身发现了逻辑错误。
如果您的资金在被抽干时位于受攻击的合约内(作为未平仓保证金、流动性或抵押品),它们将直接面临风险。代码按既定逻辑运行,没有客服电话可以撤销交易。
跨链桥漏洞
跨链桥始终是 DeFi 中最危险的层面。每个跨链桥都是一个在一条链上持有资产,同时在另一条链上发行凭证的合约。那个锁定的资产池是一个永久的、公开的攻击目标。
KelpDAO 2026 年 4 月的损失是近期最明显的例子。攻击者利用 LayerZero 桥实现漏洞,抽干了 2.92 亿美元的 rsETH。攻击发生时存放在桥合约中的资金已不复存在。已经结算到链上账户的资金未受影响——但在跨链过程中的风险窗口是真实存在的。
治理与社会工程学
这一点常被低估。Drift Protocol 2026 年 4 月 2.85 亿美元的损失并非代码漏洞导致。Lazarus Group 花了大约六个月的时间与员工建立关系,然后利用该权限获得了验证者级密钥。协议代码本身没有问题,是操作它的人被攻破了。
Travers Smith 的总结非常精准:这两次攻击都不是传统意义上的计算机代码漏洞利用,而是利用了治理结构中的弱点。如果治理权限可以授权资金转移(大多数协议都可以),那么治理本身就是一个攻击面。一旦控制它的人员或密钥被攻破,资金就会面临风险。
托管问题是最重要的变量
在询问“如果 DEX 被黑会怎样”之前,请先问问您的资金实际存放在哪里。三种架构会给您三个截然不同的答案。
池化托管 DEX(AMM 模式)
您的资金与其他所有存款人的资金一起存放在共享流动性池中。池子被抽干会按比例影响所有人。如果池子损失 60%,您就损失 60%。您的资本与他人的资本之间没有隔离。这是风险敞口最大的模式。
非托管 CLOB DEX(Hyperliquid 模式)
资金存放在您自己的链上保证金账户中,而不是共享池中。这是一个结构性的差异。针对协议核心逻辑的智能合约漏洞仍可能影响未平仓头寸和保证金——因为您的账户与链上代码交互,而代码可能存在缺陷。但前端被攻破无法在没有您钱包签名的情况下转移您的资金。协议层风险和前端风险是两个独立的问题。
Hyperliquid 的链上中央限价订单簿(CLOB)处理撮合、保证金、资金费和结算。您的保证金账户在链上属于您自己。路由到 Hyperliquid 的前端并不持有您的资金——它只是路由您已签名的订单。
前端终端层(Stacked Markets)
Stacked Markets 不持有任何用户余额,也不持有任何签名密钥。如果终端本身被攻破,攻击者找不到任何池化资金,也找不到任何存储的密钥。没有您的钱包签名,什么都动不了。前端攻击的风险面与协议攻击在结构上不同——因为在终端层没有任何东西可以被抽干。
这不是营销噱头,而是可以在链上验证的。架构本身就是证明。
资金究竟会发生什么:四种场景
场景 A:协议层面的智能合约漏洞
未平仓头寸和保证金面临风险。协议的智能合约管理着保证金的持有和释放,因此该代码中的严重漏洞可能直接影响您的账户。严重程度取决于漏洞的性质以及协议是否具有保险机制。
Hyperliquid 维护着一个 HLP 金库,作为社会化损失的保险基金。当金库有足够的资本时,它可以部分吸收协议级事件造成的损失。但金库有上限——它不能保证全额赔付。在向协议存入大量资金之前,请务必了解任何保险基金的规模和条款。
场景 B:存取款过程中的跨链桥漏洞
在跨链窗口期间,通过桥合约传输的资金面临风险。已经结算到您链上保证金账户的资金不会受到后续桥漏洞的影响——因为它们已经到达了另一端。
实际建议:尽量减少资金在桥合约中停留的时间。发起跨链、完成跨链、确认结算。不要发起跨链交易后让其挂起数小时。KelpDAO 攻击事件中,受影响的正是攻击发生时仍停留在桥合约中的资金。
Stacked Markets 在产品内集成了存取款流程,可将 Arbitrum USDC 桥接到 Hyperliquid 保证金中,无需您离开终端。这并不能消除桥风险(没有任何前端能做到),但它保持了工作流的封闭性,且步骤清晰可见。
场景 C:前端终端被攻破
如果终端不持有密钥也不持有资金,前端被攻破无法转移您的资本。获得零余额终端访问权限的攻击者找不到任何可抽干的资产。他们可能会尝试发送恶意签名提示——这正是您在批准前必须阅读每一条钱包确认信息的原因。
这就是代理钱包架构的重要性所在。Stacked Markets 的可选代理钱包使用本地浏览器签名密钥。该密钥永远不会到达 Stacked Markets 服务器。即使终端在服务器层面被攻破,签名密钥也仅存在于您的浏览器本地,不会远程存储。
前端被攻破的残留风险是系统向您展示恶意交易以供批准。您可以通过阅读签名内容来预防。纯文本签名提示的存在正是为了这个目的。
场景 D:预言机操纵
这与黑客攻击不同,但对您头寸的影响可能类似。如果攻击者操纵了协议使用的价格源,头寸可能会以人为的价格被清算。Hyperliquid 的 JELLY 事件是近期讨论最多的例子,展示了预言机相关的操纵如何影响一个本应稳健协议上的未平仓头寸。
关键点。 预言机风险是协议层风险,而非托管风险。您的资金是非托管的,并不能保护您免受被操纵的清算价格影响。
保险与追回:真实的现状
2026 年 5 月的一份 CoinDesk 报告明确指出:DeFi 总锁仓价值中只有不到 2% 投保。这一数字一直在下降,而非上升,因为攻击者已从智能合约漏洞(至少在理论上可保)转向了链下向量,如私钥泄露和钓鱼攻击,这些风险更难定价和承保。
2026 年被盗的大多数资金至今未被追回。DeFi 中没有 FDIC(联邦存款保险公司)的等价物。没有存款保护计划,没有央行兜底,没有具有追回授权的监管机构。当资金从 DeFi 协议中消失时,它们通常就真的消失了。
Hyperliquid 的 HLP 金库为协议级损失提供了部分缓解。它维护着一个储备金,当保险基金不足以覆盖清算缺口时,可以吸收社会化损失。这是一个有真实资本支持的机制——但它不是无限的,也不能覆盖所有损失场景。在将其视为安全网之前,请检查当前的金库余额并了解其范围。
更广泛的观点。 不要假设在 DeFi 攻击后您会得到全额赔付。请相应地规划您的头寸规模和协议风险敞口。
如何降低个人风险敞口
这些步骤都不能消除风险,但可以界定风险范围。
- 在存款前了解托管模式。 池化 AMM、隔离式 CLOB 和零余额前端是三种不同的风险概况。了解您正在使用哪一种。
- 最大限度减少在桥合约中的时间。 发起跨链、完成跨链、确认结算。不要让资金在传输中停留过久。
- 使用不持有密钥也不持有资金的前端。 零余额架构意味着前端被攻破也无法在没有您钱包签名的情况下抽干您的资本。
- 阅读每一条签名提示。 纯文本交易确认的存在就是为了让您验证所批准的内容。请务必使用它们。
- 在存入大额资金前检查审计历史和保险覆盖情况。 拥有多个独立审计和资金充足的保险机制的协议,与没有这些的协议有着本质区别。
- 在新终端上投入主网资金前,先使用测试网模式。 Stacked Markets 拥有带有清晰网络标记的测试网模式。您可以在没有主网风险的情况下运行完整的存取款和交易工作流。
- 永远不要将资金留在无法在链上验证的协议中。 如果您无法在区块浏览器上检查余额和头寸,您就不知道自己持有的是什么。
非托管风险的真实范围
非托管并不意味着零风险。它意味着您的风险是可控的。
在架构良好的非托管 CLOB DEX 和零余额前端上,您资金的攻击面比池化 AMM 更窄。前端攻击无法抽干您的资金。桥攻击只会影响传输中的资金。协议层的治理攻击仍然是一个风险——但它们需要攻破协议本身,而不仅仅是前端运营商。
协议层的智能合约风险依然存在。您的保证金账户与链上代码交互,而代码可能存在缺陷。Hyperliquid 的代码经过了审计,但没有任何审计是绝对的保证。HLP 金库提供的是缓冲,而不是兜底。
非托管架构所做的是去除了本不必要的风险层。没有池化抵押品意味着不会因池子被抽干而产生共享损失。没有服务器端密钥意味着前端被攻破也一无所获。没有 KYC 数据库意味着没有个人数据泄露。剩下的风险是链上交易本身固有的——您可以围绕这些风险进行衡量、监控并调整头寸规模。
了解您持有的是什么。了解它存放在哪里。了解什么可以移动它。
在测试网上尝试 Stacked Markets - 在冒主网资金风险之前,先运行完整的终端工作流。
常见问题解答
如果 DEX 被黑,我的资金会自动丢失吗?
并非自动丢失。这取决于攻击发生时您的资金在哪里。如果池子被抽干,池化 AMM 合约中的资金直接面临风险。在像 Hyperliquid 这样的 CLOB DEX 上,隔离的链上保证金账户中的资金面临协议级智能合约漏洞的风险,但不受前端被攻破的影响。已经结算到您账户的资金不会受到后续桥漏洞的影响。
前端黑客攻击和协议黑客攻击有什么区别?
协议攻击针对的是在链上持有或路由资金的智能合约。前端攻击针对的是网站或界面层。如果前端不持有资金也不持有密钥(如 Stacked Markets),前端被攻破无法转移您的资本。攻击者仍然需要您的钱包签名才能执行任何交易。
Hyperliquid 有防黑客保险吗?
Hyperliquid 维护着一个 HLP 金库,可以吸收协议级事件产生的社会化损失。这是一个有真实资本支持的机制,但它有上限,且不能覆盖所有损失场景。截至 2026 年 5 月,整个行业中不到 2% 的 DeFi 总锁仓价值有外部协议保险。
跨链桥漏洞是 DeFi 中最大的风险吗?
按美元价值计算,它们始终是最大的风险之一。2026 年 4 月的 KelpDAO 攻击事件(通过 LayerZero 桥漏洞损失 2.92 亿美元)是近期最大的例子。跨链桥在一条链上持有大量锁定资产,同时在另一条链上发行凭证。这种结构创造了一个永久的高价值目标。最大限度减少资金在桥合约中的停留时间可以降低您的风险敞口。
社会工程学攻击会影响我在非托管 DEX 上的资金吗?
会,如果攻击者获得了可以在协议层面授权资金转移的治理密钥。2026 年 4 月的 Drift Protocol 损失(2.85 亿美元)并非代码漏洞,而是一场针对拥有验证者级访问权限员工的六个月社会工程学活动。非托管架构保护您免受前端和托管风险的影响,但不能保护您免受协议治理被攻破的影响。
在存入新的 DEX 之前我应该检查什么?
检查托管模式(池化还是隔离)、审计历史及审计公司、保险基金的规模和条款,以及您使用的前端是否持有任何余额或密钥。在投入主网资金前,如果可用,请务必使用测试网模式。
如果我使用 Stacked Markets 且它被攻击了,我的资金会怎样?
Stacked Markets 不持有任何用户余额,也不持有任何签名密钥。终端层的攻击找不到任何可抽干的资金。任何交易仍然需要您的钱包签名。您的资金存放在您自己的 Hyperliquid 链上保证金账户中,而不是 Stacked Markets 的服务器上。