散户投资者曾经瞄准的去中心化金融平台现在引入了新的漏洞。

自动收益协议构建了 DeFi 最具说服力的零售宣传，即用户只需将资金存入金库即可，协议会处理其他所有事情。

对于那些希望在不手动管理 $CRV 锁定、投票权、包装器、仪表和激励措施的情况下获得 Curve 提高收益的用户，Stake DAO 提供了一种产品，该产品将完整的堆栈打包在一个简单的界面后面，同时也打包了可能会损坏的内容。

据 Blockaid 称，攻击者通过涉嫌泄露部署者密钥，在 Arbitrum 上铸造了超过 5.4 万亿个 vsdCRV，并开始将代币兑换为 ETH。

攻击者更改了 LayerZero 相关的对等配置，在铸造 5,446,744,073,709 vsdCRV 之前伪造了一条跨链消息，将一部分转换为大约 43.78 美元 ETH，流动性限制了已实现的提取，远低于名义铸造量。

Stake DAO 告诉用户在情况活跃时不要与 vsdCRV 交互。该事件蔓延至 Curve，该公司向受影响的 Arbitrum LlamaLend 市场的用户发出警告，而 Beefy Finance 则暂停了与 Curve 和 Convex 相关的连接金库。

Stake DAO 的 Liquid Lockers 允许用户存入 $CRV 等治理代币、接收流动性 sdToken，并获得更高的收益率和治理风险，而无需直接管理 Curve 锁定堆栈。

保险库界面隐藏了所有这些，并且在此过程中还隐藏了部署者密钥、跨链消息传递信任、包装器令牌记账以及漏洞利用所经过的预言机依赖项。

信息图将用户在自动收益率库中看到的四个步骤与他们在下面继承的七个隐藏风险层进行了对比。

自动收益率将 DeFi 的复杂性移出视线，这种重新定位只有当隐藏层中的某些东西发生故障时才会变得可见。

Blockaid 联合创始人兼首席执行官 Ido Ben-Natan 在一份说明中阐述了安全脱节：

“只要链上有价值，就会有攻击者试图利用它，无论协议的策略多么简单或复杂，这都是事实。这里有两件事很重要。首先，协议是否拥有正确的治理基础设施，以确保不存在容易被利用的故障点。其次，拥有一个实时链上安全工具，可以在执行前验证每笔交易。”

更广泛的计算

2026 年 4 月是 DeFi 漏洞利用最严重的月份，在社会工程、桥接欺骗和人工智能辅助侦察的推动下，28 起事件中损失了约 6.35 亿美元。

OpenZeppelin 的联合创始人并一直担任其首席技术官直至 2019 年，Manuel Aráoz 写道，他现在认为 DeFi 的“所有”都是不安全的，因为人工智能编码代理在发现漏洞方面已经变得“超人”，而防御者必须修复每个错误，而攻击者只需要修复一个错误。

数据图显示，2026 年 4 月是 DeFi 最严重的利用月份，28 起事件造成 6.35 亿美元损失，还有 5.4 万亿美元的 vsdCRV 造假。

OpenZeppelin 公开否认了这一说法，称 Aráoz 的帖子并不反映该公司的立场。然而，他所描述的不对称性引起了归属争议之外的严重关注。

Ben-Natan 将防御优势放在实时工具和自适应威胁检测中：

“黑客越来越多地利用人工智能来更快地行动并寻找新的攻击向量。然而，像 Blockaid 这样的链上网络安全提供商拥有使用人工智能保持领先地位的丰富经验。我们不断实时分析和适应新的威胁模式，使用人工智能代理进行调查、模拟和恶意模式匹配。”

这种实时功能使交易验证成为针对边缘攻击者获得的速度的可行对策，而对于自动化收益协议，治理控制和监控已成为金库接口所依赖的实际安全层。

下一个金库

在悲观的情况下，更多的关键妥协、桥梁事件、预言机蔓延和金库暂停会导致自动化收益率产品的抽象折扣。

用户要求更高的回报来补偿隐藏的堆栈风险，这使得在没有明确风险披露的情况下维持一键式收益率变得更加困难，并且随着集成变得风险门控，较小的金库会失去 TVL。

定义四月份的事件模式延续到今年剩余时间，每一个新事件都强化了这样一种看法：收益自动化捆绑了用户无法独立评估的风险。

在牛市的情况下，协议采用本-纳坦描述的架构，包括消除简单故障点的治理控制、实时交易验证和持续的威胁模式监控，并且自动化收益以更标准化的形式存在。

形式验证、多重签名控制和运行时监控成为默认基础设施，而保留零售信任的产品是那些公开和管理依赖堆栈的产品。

安全供应商和风险仪表板嵌入到保险库界面本身中，竞争优势