2025 年 11 月,DeFi 領域相繼發生兩起重大事件:Balancer V2 被攻擊造成逾 1.28 億美元損失,以及 Stream Finance 因外部資產管理失誤導致約 9,300 萬美元虧損。
這兩起事件分別揭示了 智能合約漏洞 與 運營管理風險 的現實影響,對整個去中心化金融生態系帶來深遠警示。本文將依序解析事件經過、後續影響、投資建議,並進行比較分析與結論。
DeFi 的運作與潛在風險
DeFi(Decentralized Finance,去中心化金融)是一種建立在區塊鏈上的金融系統,透過智能合約自動執行借貸、交易與收益操作。
使用者不需銀行或中心化機構即可參與,享有開放性與透明性,但也承擔合約漏洞與治理風險。
主要風險分為兩類:
- 技術層面:智能合約錯誤、跨鏈橋漏洞、數值運算瑕疵。
- 運營層面:外部資產管理、收益策略、透明度與信任問題。
Balancer 攻擊事件:智能合約的精度陷阱
事件經過
2025 年 11 月 3 日,DeFi 協議 Balancer V2 遭駭客利用「Composable Stable Pools」的 四捨五入誤差(rounding error)漏洞 進行攻擊。
攻擊者在批量交易函數 batchSwap 中多次重複操作,利用整數除法向下取整的數值誤差,累積獲利並最終竊取資金。
- 損失金額:約 1.28 億美元
- 受影響鏈:Ethereum、Polygon、Base 等
- 技術根源:精度錯誤導致資金錯算
- 漏洞類型:合約邏輯層級錯誤
後續影響
Balancer 團隊隨即凍結受影響池並發布漏洞公告,強調僅限 V2 版本受影響,V3 與其他池型態運作正常。
部分協議如 StakeWise DAO 回收部分資產,但整體損失仍龐大。 事件揭露出 DeFi 複雜池設計中的潛在風險,即 「數學邏輯錯誤即是資金風險」。
💡 投資人建議
- 檢查是否參與受影響池並及時撤資。
- 投資前審視合約設計複雜度,避免過度依賴組合型池。
- 優先選擇經歷時間考驗、版本穩定的協議版本。
Stream Finance 事件:外部資產管理失誤
事件經過
同月,收益平台 Stream Finance 公告,其委託的外部資產管理方出現操作失誤,造成約 9,300 萬美元資金損失。
該資金原本用以支撐其穩定幣 xUSD(Staked Stream USD)。事件曝光後,平台立即 暫停所有存提款,市場信心下滑導致 xUSD 脫鉤(depeg),一度跌至 0.45 美元。
- 損失金額:約 9,300 萬美元
- 主要問題:外部資金管理錯誤
- 連鎖影響:其他協議出現間接虧損,估計曝險金額達 2.85 億美元
後續影響
Stream Finance 聲明正與國際律師事務所 Perkins Coie LLP 合作調查事件,並審查其資產儲備結構。
但目前尚未提出完整補償計畫,穩定幣信任度下降,市場對「收益型穩定幣」模式產生懷疑。
💡 投資人建議
- 儘快確認持有的 xUSD 是否能兌換或提領。
- 對含有「外部資產管理」或「高收益穩定幣」的產品保持審慎。
- 優先選擇具審計報告、鏈上儲備透明的穩定幣。
四、事件對比分析
分析觀點:
- Balancer 屬「技術風險事件」,核心問題在於合約精度錯誤;
- Stream Finance 屬「治理風險事件」,問題來自人為資金操作與內控不足;
- 兩者共同顯示:即使在去中心化架構下,技術正確性與運營透明度同樣關鍵。
五、結論:DeFi 的成熟仍需時間
這兩起事件再次提醒投資人,DeFi 的開放與創新並不意味著安全與穩定。
智能合約錯誤可能在短時間內造成大規模資金流失,而資產管理失誤則可能引發連鎖信任危機。
投資人三項風險原則
審慎評估合約風險:確認協議是否經過多重審計與安全測試。
透明度優先:了解收益來源與資金儲備,拒絕不明「高年化」產品。
分散投資與風險監控:避免集中曝險,定期關注平台公告與鏈上異常。
DeFi 的最終價值在於重塑金融透明度與可及性,但唯有在安全與治理成熟的前提下,這一理想才能長久實現。
從 Aave 的鏈上透明,到 Stream Finance 的資管黑箱,DeFi 在短短幾年內完成了一次危險的演化。
當「去中心化」變成「去監管化」,當高收益掩蓋了資訊不透明的現實,市場最終付出的代價是信任與資金安全。
真正的 DeFi 價值,不在於標榜「去中心化」,而在於是否能讓使用者清楚看見資金的流向與風險。
一個不透明的去中心化系統,比受監管的中心化平台更具風險,它既缺乏法律約束,也缺乏透明的制衡機制。
正如 Bitwise 首席投資長 Matt Hougan 所言:「市場上不存在沒有風險的高收益。」
每一次按下「存入」之前,投資人都應該問自己:
我真的知道這筆收益從哪裡來嗎?
若答案是否定的,那麼——你,就是那個收益。
