DeFi去年被黑6.49億，a16z為何呼籲放棄"代碼即法律"

DeFi行業面臨一個尷尬的現實：越來越多的漏洞被黑客利用。根據Slowmist報告，2025年DeFi協議因代碼漏洞損失超6.49億美元，即便是自2021年以來穩定運行的老牌項目Balancer也在2025年11月遭遇1.28億美元的損失。在這樣的背景下，a16z Crypto高級安全研究員Daejun Park近日發文呼籲業界進行一場範式轉變：從"代碼即法律"升級到"規範即法律"，通過標準化的安全規範來應對日益複雜的安全威脅。

安全危機的深層問題

DeFi的"代碼即法律"哲學曾經是其核心競爭力，強調完全的去中心化和代碼透明性。但這個理念的弱點也日益顯露：代碼本身可能存在漏洞，而這些漏洞往往在部署後才被發現。根據開發者的擔憂，黑客越來越多地使用AI工具來尋找這類漏洞，使得傳統的安全審計方式顯得捉襟見肘。

從數據來看，問題的規模不容小覷。6.49億美元的年度損失意味著平均每個被攻擊的協議都面臨巨大風險。Balancer的案例更是說明，即便是經過多年驗證的代碼，仍然可能存在被忽視的漏洞。

a16z提出的新方案

Daejun Park建議的解決方案相對具體：通過不變性檢查（invariant checks）來硬編碼安全保障。簡單說，就是在智能合約中預先定義一些不可違反的規則，當交易執行過程中觸發這些規則時，系統會自動回退該交易。

這個方案的優勢在於：

• 可以在執行階段實時防護，而不是依賴事後審計
• 幾乎所有已知的DeFi漏洞都會觸發這類檢查
• 相比完全重寫代碼，實施成本相對較低

Park指出，這種方法有望在黑客攻擊發生的瞬間就將其阻止，從根本上改變DeFi的安全防護邏輯。

現實的挑戰

不過，業界對這個方案並非完全認可。根據最新消息，Immunefi的安全主管指出了兩個實際問題：一是不變性檢查會增加交易的gas成本，這可能導致用戶流失；二是這個方案並非萬能藥。

Asymmetric Research的聯合創始人則提出了技術角度的質疑：許多漏洞的複雜性使得編寫既能有效檢測攻擊、又不會誤報的不變性規則變得困難。換句話說，規則本身的設計就是一個難題。

已有的嘗試

值得注意的是，這個理念並非完全新穎。根據相關資訊，Kamino和XRP Ledger等項目已經開始採用不變性檢查。這說明雖然存在挑戰，但已有先行者在這條路上進行探索。

總結

a16z的這個呼籲反映了DeFi行業的一個重要轉向：從絕對追求去中心化的"代碼即法律"，向可控安全的"規範即法律"轉變。在6.49億美元的年度損失面前，這種轉變顯得必要而緊迫。

不過，這個方案的落地並非一帆風順。gas成本、規則設計複雜性等現實問題仍需解決。更深層的問題是：DeFi行業是否準備好在安全性和去中心化之間做出權衡。這可能是接下來一段時間內，業界需要持續討論的核心議題。