DeFi Sentinel
DeFi Sentinel
首页
工具研究中心游戏中心关于我们
DeFi Sentinel Logo
DeFi Sentinel

专业的 DeFi 评级与策略平台,提供深度分析和风险评估。

平台

  • 项目评级
  • 策略
  • 研究中心
  • 游戏中心

公司

  • 关于我们
  • 服务条款
  • 隐私政策

联系

邮箱已复制!

© 2026 DeFi Sentinel。保留所有权利。

返回研究中心
深度分析中级免费

为什么 Bug Bounty 对一个 DeFi 协议如此重要

在我们的评级方法论里,Bug Bounty 占满满 10 分——它买到的是任何审计都给不了的东西:一份让白帽在黑帽之前找到漏洞的长期激励。这篇文章讲清楚:到底是谁在盯着你的金库、白帽为什么是 DeFi 沉默的守护者,以及当一个项目方亏待白帽时会发生什么。

DeFi Sentinel 研究团队
DeFi Sentinel 研究团队
策略分析师
2026年7月17日
12 分钟阅读
2026年7月17日
12 分钟阅读
为什么 Bug Bounty 对一个 DeFi 协议如此重要

在我们的协议评级方法论里,Bug Bounty(漏洞赏金)在“智能合约与技术风险”这一支柱下占满满 10 分。有人会问我们为什么给它这么高的权重——不就是网站上一个“我们会给提交 bug 的白帽子发钱”的页面吗?这篇文章就是那个长答案。Bug Bounty 不是市场宣传,它是一个协议能买到的最便宜的一份保险;而一个团队怎么经营这份赏金,几乎能告诉你:出事的时候,它会怎么对待你的钱。

100M 以下没人惦记你——直到突然有人惦记

DeFi 安全有一个很别扭的时间线。一个 TVL 在 1 亿美金以下的新项目,通常还入不了顶级攻击者的法眼——合约里的钱不够多,不值得他们花力气。但这种“安全”是暂时的,它源于体量小,而不是代码有多干净。

真正的危险窗口,在 TGE(代币生成事件)前后打开。那正是协议进入高速增长期的时刻——TVL 攀升、激励开启、金库鼓胀,项目终于出现在那些以此为生的人的雷达上。成熟不会让你更安全,只会让你成为目标。蜜罐越大,专业选手扫描得越狠。

2016–2023 年加密黑客盗窃的年度总金额 加密盗窃的规模,随链上资金一起水涨船高:从 2016 年的近乎为零,到 DeFi 金库大到值得下手之后的每年超过 30 亿美金。蜜罐变大了——掏空它的动机也变大了。(来源:Chainalysis)

而且他们是真·专业选手。最臭名昭著的是朝鲜的 Lazarus Group,也就是朝鲜国家级加密攻击行动的总称。这不是“某些黑客”的泛指。据报道,朝鲜会很早筛选出数学天赋出众的孩子,把他们送进精英计算机科学院校,再把其中的顶尖苗子选拔进一支近乎国家队的网络部队。他们的产出令人咋舌:Chainalysis 统计 2025 年全年被盗加密资产超过 34 亿美金,其中与朝鲜相关的团伙大约就占了 20 亿美金——包括 2025 年 2 月约 15 亿美金的 Bybit 被盗案,史上最大的加密盗窃案,正是归因于 Lazarus。

有两点让 DeFi 在面对这类对手时格外脆弱:

  • **远程优先、匿名的团队。**大多数加密项目雇的是匿名贡献者,彼此从没线下见过面。这恰恰是国家级攻击者最喜欢渗透的环境。
  • **内鬼威胁已经产业化。**有据可查的是,朝鲜“IT 劳工”用盗来的和伪造的身份,混进了包括加密和区块链公司在内的数百家企业,一边把工资汇回国内,一边——在某些案例里——埋下日后用于大劫案的访问权限。

关于我自己的判断,我直说,并且明确标注这是观点、不是硬数据:考虑到这个行业远程化、身份核验又如此单薄,如果说已经有相当一部分区块链从业者——姑且说低两位数的比例——以某种形式被渗透或策反,我一点都不会意外。这个数字你无法证明,我也不会假装能。但方向不是猜测:这种渗透正在以产业规模发生,而且已经持续了很多年。

攻击已经从“代码”转向了“人”

DeFi 黑客的经典画面,是一个天才独狼发现了一处重入漏洞,一笔交易掏空一个池子。这种事还在发生——有组织的团队确实会高强度扫描项目方的 GitHub 和链上合约,找到缺陷,然后一次协同行动清空金库。

但前沿已经转向了社会工程学。

最清晰的近期案例,就是 Drift 协议被盗案——约 2.85 亿美金,发生在 2026 年 4 月。值得注意的是,它不是智能合约漏洞。从 2025 年秋天开始,攻击者伪装成一家正经的量化交易公司:他们真的去线下参加会议、“热心地”帮忙修一些小问题、还存入了自己一百多万美金的真金白银来建立信任——这个局做了好几个月。收网阶段,他们利用了 Solana 的 durable nonces(预先签好、延迟执行的交易),并通过社会工程学让 Drift 安全委员会(Security Council)的真实成员为其签名。此案被归因于一个朝鲜团伙(UNC4736 / AppleJeus)。这就是“长期埋伏、最后收网”最纯粹的形态——一场耐心的、资金充裕的、跨越数月的行动,先把自己种进去,然后等。

更早的经典案例是同一套模板:2022 年 6.25 亿美金的 Ronin / Axie Infinity 被盗案,起点就是一份假的 LinkedIn 招聘邀请,加上一个塞了木马的 PDF,递到一位资深工程师手里——间谍软件最终让攻击者控制了这座跨链桥的多数验证者。这些都不是抢完就跑的活儿。

一个戴面具的渗透者,混坐在一群毫无戒心的开发者中间 现代的 DeFi 攻击很少去撬锁——它被雇进来拿钥匙。一个有耐心的操盘手在桌边挣得一个位子,花几个月建立信任,然后收网。

面对这样的对手,审计只是一张快照——只在签署那天为真。而 Bug Bounty 是一道常设的警戒线,在审计师下班回家之后仍在盯着。

白帽:站在另一边的沉默守护者

每有一个黑帽在掏空金库,就有一个白帽在做相反的事:他们同样在猎捕漏洞,但会把漏洞上报给项目方,换取赏金。其中最顶尖的人技术极强——常常和攻击者一个水平——并且真的持守一套职业道德。说得不浪漫一点,他们就是 DeFi 的免疫系统。

Bug Bounty 就是那份让免疫系统持续指向防御的合约。它在说:*如果你找到了洞,我们会公平地付钱给你,你就不必去想那另一条、更黑暗的变现方式。*把这份合约拿掉——或者签了却不诚实地履行——你就是在悄悄地请一个能力极强的人重新掂量:自己到底该戴哪顶帽子。

天平两端各放着一顶白帽和一顶黑帽,一枚硬币把天平压向白帽一侧 一笔公平支付的赏金,把天平压向白帽一侧。同一个研究员两边都能去——决定他戴哪顶帽子的,是奖励。

这不是空想。让我带你走一遍它是怎么崩坏的。

一个故事:如何把你的守护者变成你的攻击者

想象我是一个靠挖智能合约漏洞为生的白帽。我在某个协议里找到了一个*高危(critical)*漏洞——那种稍加武器化,就能拿到管理员权限、把整个金库掏空的漏洞。几千万美金,只隔着一次利用。

我看了一眼他们的官网,上面写着 10 万美金的 Bug Bounty。这是一笔实打实的钱,我也想按正道来办,于是我去他们的 Discord 开了一个工单,私下把漏洞披露给他们。团队立刻进入应急状态——因为要把这种漏洞妥善修好需要时间,可能几天,也可能一周。

与此同时,他们请我保持沉默。*别在公开场合提这件事,会影响我们的声誉。这是个高危问题,一旦泄露,有人就能拿到管理员权限、卷走一切。我们非常重视。请你先稳住。*行,合情合理,我就稳住。

一周后,补丁上线,他们回来了,语气变了。*原来我们网站上那个赏金金额是过时的信息。我们真的非常感激你找到了这个洞——但我们已经亏本运营很久了,熊市把 TVL 打得很惨,我们实在付不出网站上写的那个数。*翻译过来就是:他们想赖账。我一顶回去——那我就去 X 上曝光——他们退而求其次,提出“折中方案”:给你一点我们的代币。我看了看价格,自上市以来已经跌了 90%。他们要给的这袋币,也就值几千美金。

我们来算笔账。我交给他们一个能蒸发掉几千万美金的漏洞。他们想用一个正在归零的代币付我几千美金,还觉得自己挺大方。而最该让每个创始人后背发凉的是:我完全有能力自己动手把这笔钱拿走。从混币器取出干净的 ETH,部署一个恶意合约,执行漏洞利用,再把赃款通过混币器洗回去。这些对我这个水平的人来说毫无难度。我选择了不这么做。凭什么我还得再受这份气?

一个用轻蔑对待白帽的团队,正在广播一个非常危险的信号。下一个在这个协议里找到洞的研究员,刚刚亲眼看见了诚实换来什么。他们中的一部分——那些道德底线本就不厚的人——会干脆转入地下,自己动手。健康的版本是一个飞轮:白帽找到漏洞 → 拿到公平的赏金 → 更加积极地去猎捕和上报。飞轮一旦被打破,你失去的不只是一个研究员——你改变了每一个正在旁观的研究员的激励。

这并非纯粹的杞人忧天。2025 年,一位白帽披露了一个据称让 Injective 约 5 亿美金处于风险中的漏洞,随后公开发声,指控团队把他晾了大约三个月,最后只肯给 5 万美金——而这个赏金计划对外宣称的上限是“风险资金的 10%”。没有人去黑 Injective,这位研究员始终是白的。但这件事变成了一场非常喧闹、非常公开的“对赌”:一个协议的承诺到底值几个钱——而这个圈子里每一个高手都在盯着它如何收场。那种声誉损失,是这个失败模式便宜的版本。昂贵的版本,是研究员认定这口气不值得咽下去的那一种。

说白了,这是一个“公共品”问题

我想把镜头拉远一点,因为这套动力学并不是 DeFi 独有的。

很多年前我跟过一个游戏 Mod 社区,几位很有才华的开发者无偿地做出了真正精彩的 Mod——更新又快,还完全免费,纯粹出于热爱。但不出所料,总有一小撮玩家,把一个志愿者当成雇来的产品经理:*更新怎么这么慢?都一个月了,你到底在干嘛?*这是开源性质的 Mod,没有人拿工资,一切都是用爱发电。最后有个被折腾得筋疲力尽的开发者崩了,在下一个版本里塞进了病毒,把那些不知感恩的玩家的电脑搞中毒了。

我不赞成这种做法,但我完全理解那种心理。当你花钱买了一家公司的东西,你确实有资格抱怨——毕竟他们收了你的钱。但一个开源项目是公共空间,靠善意维系。当人们从这个公共空间里拿东西拿久了,感恩就被理所当然取代,他们开始觉得志愿者欠自己的。每发生一次,这片公共空间就缩小一点,而所有还在往里贡献的人,日子就更难过一分。

白帽就是 DeFi 的安全公共品。把他们当敌人,或者当仆人,你就是在缩小那群愿意保护你的人。

Bug Bounty 平台:那道让“赖账”变难的托管

白帽被坑的故事,其实有一个结构性的解法,而且它早就存在。专门的加密漏洞赏金平台横在项目方和研究员之间,让付款不再纯粹取决于团队的良心:

平台运作方式为什么对白帽有利
Immunefi加密领域主导性的漏洞赏金市场——迄今累计向白帽支付超过 1.12 亿美金,单个项目的最高赏金可达数百万美金(MakerDAO 曾设过 1000 万美金的计划;单笔最高纪录是 2022 年 Wormhole 漏洞付给 satya0x 的 1000 万美金)。标准化的严重度评级,外加一套两级争议机制:先是无约束力的调解(mediation),再是通过伦敦仲裁院进行有法律约束力的仲裁——被称作“互联网上第一个漏洞赏金法庭”——对接入的项目还有 Immunefi Vaults 提供链上托管。
HackenProof由安全公司 Hacken 运营的漏洞赏金与定级(triage)平台。第三方定级加上正式的披露流程,减少“公说公有理”的扯皮。
Sherlock / Cantina / Code4rena竞赛式的审计比赛——众多研究员在固定窗口内审阅代码,瓜分一个共享奖池。奖金被托管,规则在动工之前就公开,所以项目方没法在漏洞被找到之后再改规则。

重点不在于页面上印的是哪个 logo,而在于:一份通过正规平台发布的赏金,天然带有一定程度的可执行性和声誉约束——Immunefi 的仲裁通道之所以存在,恰恰是为了让一笔赏金不至于取决于团队当天的心情。一个在 Immunefi 上坑白帽的项目,会一次性烧掉自己在整个安全圈的声誉。而一个只在某篇博客里提过一次的自建“10 万美金赏金”,完全不具备这种分量——而且正如上面那个故事所示,正是这种赏金,在账单真正到来时会悄悄蒸发。

谁真的付得起——谁付不起

说点实在的经济账。相当多的协议,根本没有那么多现金去兑现一笔大额赏金。

  • **靠得住、会付钱的:**有真实且可持续收入的成熟项目;TVL 已经不再依赖市场行情的协议;或者从 VC 那里融了很多钱的团队。对他们来说,一笔赏金是零头,他们的计划往往也更透明、更充足。
  • **危险区——中小型协议:**这才是真正的重灾区。项目本身没什么护城河,招不到顶尖人才,而且——在 2026 年越来越普遍的是——代码里很大一部分可能是 AI 生成、人工审查又很薄。这种组合大幅抬高了出现严重漏洞的概率,同时又压低了团队有钱把漏洞负责任地买断的概率。两头都占了坏的一头。

我给这些团队的建议很直接:专门从代币供应或社区金库里划出一块,用来支付漏洞赏金。这非常重要。而且如果你的处境变了,那就更新网站、把金额调低——一个你真的会付的、较小的诚实赏金,远远好过一个你最后赖掉的天价数字。赖账,才是把你的守护者逼向对立面的那件事。

我们怎么给它打分

所以那 10 分到底从哪来。我们的评级引擎对子维度 1.4(Bug Bounty 与事故历史)是这样打分的:

Bug Bounty 状态得分(满分 10)
在正规平台上的有效赏金,最高奖励超过 50 万美金10
有效赏金,10 万 – 50 万美金7.5
有效赏金,低于 10 万美金5
查不到任何 Bug Bounty(搜索引擎 + 各大赏金平台都没有)0
过去发生过重大且未赔偿的被盗(损失 >10% TVL)扣 20 分

我们的规则简单而不讲情面:如果搜索引擎和各大主流赏金平台(Immunefi、HackenProof 等)都查不到任何 Bug Bounty,我们就认定这个协议没有设赏金——这一维度直接记零分。在一个占 40% 权重的技术支柱里,10 分不是全部。但它是 DeFi 安全里一根承重的柱子,而它的缺席,是一个真实、刻意的信号。一个连“让好人进来”的钱都不肯花的协议——无论它是否有意——都已经把门给所有其他人敞开了。

本文为研究与评论,不构成投资建议。文中的威胁描述均为一般化概括,任何具名事件的细节均取自公开报道。在把资金投入任何协议之前,请务必自行研究(DYOR)。

常见问题

Bug Bounty 对一个 DeFi 协议为什么重要?+

Bug Bounty 付钱给白帽黑客,让他们在攻击者之前找到并私下上报漏洞。审计只是一次性的快照,而赏金是一份长期激励,能让高水平研究员在项目上线后仍持续指向防御。它往往是协议能买到的最便宜的一份保险。在 DeFi Sentinel 的评级方法论里,它在“智能合约与技术风险”支柱下占 10 分。

DeFi 里白帽和黑帽有什么区别?+

两者都在猎捕同样的智能合约漏洞,但白帽会把漏洞上报给团队以换取赏金,黑帽则利用它掏空资金。最顶尖的白帽和攻击者技术相当,且持守职业道德——他们实际上就是 DeFi 的免疫系统。一个资金充足、公平付款的 Bug Bounty,正是让有才华的研究员选择走白帽这条路的关键。

到底是谁在黑 DeFi 协议?+

越来越多是有组织的、国家级的团伙。朝鲜的 Lazarus Group 最臭名昭著:2025 年与朝鲜相关的团伙盗走约 20 亿美金加密资产,其中包括约 15 亿美金的 Bybit 被盗案。攻击方式已从纯代码利用转向长期社会工程学——2026 年 2.85 亿美金的 Drift 被盗案埋伏了数月,攻击者先伪装成量化公司,再对签名者进行社会工程学操纵。远程、匿名的团队尤其容易被内鬼渗透。

如果一个协议不付白帽的赏金会怎样?+

它会向每一个旁观的研究员发出危险信号。2025 年,一位白帽披露了让 Injective 约 5 亿美金处于风险中的漏洞,随后公开指控团队把他晾着、只肯给 5 万美金。没有人去黑 Injective,但这类争议展示了声誉代价。更深的风险是:一个被坑、又不那么讲原则的研究员,可能决定自己利用漏洞,而不是上报。

DeFi 协议一般用哪些 Bug Bounty 平台?+

Immunefi 是加密领域主导性的漏洞赏金市场,已向白帽支付超过 1.12 亿美金——包括 Wormhole 漏洞创纪录的 1000 万美金单笔赏金。它提供调解和有约束力的仲裁,让付款不再取决于团队的良心。HackenProof 提供第三方定级,而 Sherlock、Cantina 和 Code4rena 则举办竞赛式审计比赛,奖池托管、规则在动工前就已固定。

DeFi Sentinel 怎么给协议的 Bug Bounty 打分?+

子维度 1.4(Bug Bounty 与事故历史)满分 10 分。在正规平台上的有效赏金,最高奖励超过 50 万美金记 10 分;10 万–50 万美金记 7.5 分;低于 10 万美金记 5 分;查不到任何赏金记 0 分。过去发生过重大且未赔偿的被盗(损失超过 10% TVL)扣 20 分。如果搜索引擎和各大平台都查不到赏金,我们就认定该协议没有设赏金。

#defi#security#bug-bounty#smart-contract-risk#risk-management

关于作者

DeFi Sentinel 研究团队
DeFi Sentinel 研究团队
策略分析师

从从业者转型的分析师,专注于激励、流动性与资金流如何塑造 DeFi 协议。

相关文章

USD.AI:把 GPU 融资缺口变成链上收益

USD.AI:把 GPU 融资缺口变成链上收益

14 分钟阅读

收益分红型 DeFi 协议,真的需要一个治理代币吗?

收益分红型 DeFi 协议,真的需要一个治理代币吗?

13 分钟阅读

你用的 DeFi 协议安全吗?100 个协议风险评级完整排名(2026 年 7 月)

你用的 DeFi 协议安全吗?100 个协议风险评级完整排名(2026 年 7 月)

14 分钟阅读

© 2026 DeFi Sentinel。保留所有权利。