DeFi被盜損失累計達77億美元　保險覆蓋追唔上風險升級

DeFi用戶為追高收益往往將安全擺埋一邊，黑客亦趁勢「收割」。由2020年「DeFi Summer」所描繪的無許可、去中介金融願景，逐步變成一場缺乏保險支撐的數十億美元實驗。據DeFiLlama統計，自相關概念進入加密圈以來，未有投保的借貸協議因漏洞及攻擊累計損失約77億美元。 單計2026年4月，安全事故造成的損失已超過6億美元，其中Drift及Kelp DAO等大型入侵事件最受關注。連串攻擊亦突顯結構性問題：DeFi保險市場規模細、產品設計亦難以應對當前威脅。 Nexus Mutual創辦人Hugh Karp向CoinDesk表示，目前獲保險覆蓋的DeFi總鎖倉值（TVL）不足2%。DeFiLlama列出28個保險協議，但整個板塊TVL只有約1.235億美元，而Nexus Mutual幾乎佔去大部分。相比之下，整體DeFi生態TVL約830億美元，保險TVL只佔約0.14%。 攻擊面已轉移 早期DeFi保險主要針對智能合約漏洞定價，因為相關風險較易審計及量化。現時大型損失愈來愈多源自鏈下失誤，包括私鑰被盜、釣魚、社交工程及跨鏈橋邏輯缺陷。DeFiLlama按攻擊手法拆解顯示，私鑰失守是最大一類，其次是針對多簽錢包的釣魚攻擊。 Karp指出，不少重大事件其實源自營運安全（operational security）失守。此類情況對保險人而言更難核保，原因是項目方普遍缺乏標準化的營運安全流程。缺乏清晰標準亦令風險難以準確定價，保費隨之上升至用戶難以接受的水平。 Kelp DAO事件正好反映缺口：犯罪者操控跨鏈橋奪取真實資產，再將該等資產用作抵押，在Aave上借貸。Karp表示，這類「跨鏈橋核心風險」多數不屬傳統DeFi保險的承保範圍；部分產品只會就後續連鎖影響賠付，例如因預言機凍結導致的壞賬，而非原始的營運性入侵。 用戶點解唔買保險 問題其中一環在於行為因素：DeFi用戶以收益為導向。若需支付2%至3%的保費，對回報本身已緊的策略可能會直接「食晒」利潤，令不少人選擇放棄保障。CertiK資深審計合夥人Dan She表示，多數DeFi用戶不願意為保險犧牲幾個百分點回報。 結構性脆弱亦令市場更難發展。早期去中心化保險協議往往依賴與其承保對象相同的基建與機制，形成循環風險。行業在早期DeFi熱潮急速膨脹，TVL由2020年初約300萬美元增至2021年11月約18.9億美元，Nexus Mutual、Cover Protocol、InsurAce、Tidal Finance及Bridge Mutual等曾是主要玩家。 但不少協議在2021至2024年間因代幣經濟不可持續、利益衝突等問題而失敗、被盜或崩潰。Cover Protocol本身亦遭攻擊後瓦解；Armor.fi、Bridge Mutual及Tidal等亦大致淡出。2019年已開始營運的Nexus Mutual，仍是少數倖存者之一。 Karp稱，Nexus至今承保金額累計超過65億美元，實際賠付剛超過1,850萬美元，對個別案例有用，但相對市場整體曝險仍屬有限。 亦有聲音批評舊模式先天有缺陷。Spectra Finance創辦人Gaspard Peduzzi指出，DeFi保險很多時只是「在對手方風險之上再疊加對手方風險」。Altura營運總監（COO）Matthew Pinnock亦提到，保險池背後的資本經常暴露於原本要對沖的同一類漏洞，一旦事故發生，保障往往在最需要時失效。 當缺乏保險時，最受傷的多數是散戶。Karp形容，攻擊後常見次序是：協議的安全模組先吸收損失，其後動用庫房資金；若仍不足，普通存款人便要承擔虧損。他指，實際上沒有保障時，成本往往不成比例地落在最缺乏經驗的參與者身上。 下一步走向 市場正作出調整。有團隊嘗試將保險直接嵌入DeFi產品，令保障變成自動配置而非用戶可選項；亦有人主張縮窄承保範圍、將條款定義得更清晰，或引入傳統保險公司，專門處理鏈下的營運及託管風險。 核心難題仍未解決：DeFi風險結構複雜且快速演變，而保險行業仍欠缺成熟工具與標準去定價。只要核保能力追唔上，板塊就會持續暴露於高風險之下，激勵亦會繼續推動用戶「收益優先」，令數以十億美元的資產處於薄弱保障之中。 隨住黑客事件疊加、損失擴大，填補保障缺口的壓力正在升溫。若保險方、協議方與用戶未能在覆蓋範圍與成本之間找到可行折衷，DeFi增長或會放慢，未來的「DeFi之夏」亦可能要付出更高代價。