投研早报丨5 年 6 次事故损失破亿,老牌 DeFi 协议 Balancer 黑客光顾史/为什么纳瓦尔说:ZCash 是针对比特币隐私的保险/Balancer 被盗余震未平,Stream 的 xUSD 脱钩会影响你的哪些资产?
ChainFeeds Newsletter 每日精选 Web3 深度投研「简报」+ AI 驱动的热点新闻榜单,帮你做出聪明决策
📢 ChainBuzz 热点新闻 |2025.11.5
🔥 Zynk 完成 500 万美元种子轮融资,Hivemind Capital 领投
🔥 比特币借贷平台 Lava 完成 2 亿美元融资
🔥 Berachain:大多数关键合作伙伴已准备就绪恢复区块
🔥 Momentum 已上线代币空投分配查询页面
🔥 Arthur Hayes:隐形 QE 或将重启,可能引爆下一轮比特币牛市
👨💻 ChainFeeds 投研简报 |2024.11.4
1️⃣ DeFi|5 年 6 次事故损失破亿,老牌 DeFi 协议 Balancer 黑客光顾史
2️⃣ 项目介绍|为什么纳瓦尔说:ZCash 是针对比特币隐私的保险
3️⃣ AI|揭开 Crypto x AI 的面纱:潜力、机遇与风险
4️⃣ DeFi|Balancer 被盗余震未平,Stream 的 xUSD 脱钩会影响你的哪些资产?
5️⃣ 项目介绍|Solana 上的「隐形冠军」:市占悄悄拿下第一,暗池 HumidiFi 是如何做到的?
每日精选的加密信息由 ChainFeeds 团队与 AI 共同编写,我们已将内部的信息流工具优化并开放给所有读者及 Web3 行业者使用,测试链接 👇
🌞 Web3 行研早报来自:Web3 行业必读深度资讯「简报」平台|chainfeeds.xyz
🤖️ Web3 热点榜单来自:AI 驱动的 Web3 热点新闻自动聚合工具|chainbuzz.xyz
1️⃣ 5 年 6 次事故损失破亿,老牌 DeFi 协议 Balancer 黑客光顾史
导读:对于旁观者,DeFi 是一场新奇的社会实验;对于参与者,DeFi 被盗是一次昂贵的教训。
深潮 TechFlow:Balancer 官方在事发后迅速发布公告,承认发现了可能影响 V2 池的漏洞攻击,并表示工程与安全团队正在高优先级调查事件,将在掌握更多信息后公布验证结果与后续措施。同时,团队宣布愿意提供被盗资产 20% 的白帽奖励以追回资金,期限为 48 小时。此举回应迅速但仍显官腔,未能平息社区焦虑。对于 DeFi 老玩家而言,Balancer 被黑几乎已成周期性新闻。自 2020 年成立以来,这个曾被誉为灵活做市商的老牌协议,五年内累计发生六次安全事故,几乎每年都要遭遇一次黑客年度巡礼。2020 年 6 月,Balancer 因通缩代币 STA 的处理漏洞损失约 52 万美元,攻击者利用 STA 转账自动销毁 1% 手续费的特性,从 dYdX 借出 10.4 万 ETH 并在池内进行 24 次循环交易,直至池中 STA 被耗尽,仅剩 1 wei,随后以极度失衡的价格换走 ETH、WBTC、LINK 和 SNX。此事件成为 Balancer 首次重大挫败,也揭示了协议在复杂代币兼容性设计上的脆弱基础。
此后数年,Balancer 屡遭安全事件。2023 年 3 月,因 Euler Finance 被攻击而躺枪,损失约 1190 万美元。当时 Euler 遭遇 1.97 亿美元闪电贷攻击,Balancer 的 bb-e-USD 池持有 Euler eToken,受牵连资金被转移至 Euler,占该池 TVL 的 65%。虽团队紧急冻结池子,损失仍无法挽回。同年 8 月,V2 池遭遇舍入误差漏洞攻击,攻击者利用 Boosted Pool 精度偏差,制造 BPT 供应量计算异常,以不正当汇率提取资产。尽管 Balancer 在 8 月 22 日已主动预警并要求用户撤资,但五天后黑客仍成功实施攻击,损失约 210 万美元。9 月又发生 DNS 劫持事件,黑客通过社会工程手段攻陷注册商 EuroDNS,劫持 balancer.fi 域名,将用户引导至钓鱼网站,以 Angel Drainer 恶意合约诱导授权转账。虽然这起事件并非智能合约漏洞,但显示出 Web3 协议在传统互联网安全层的脆弱性。2024 年 6 月,Balancer 分叉项目 Velocore 被黑,损失 680 万美元,攻击源于 CPMM 池设计中的溢出漏洞,凸显 Balancer 式架构的系统性风险。
2025 年 11 月这次攻击则是迄今最严重的一次。安全公司 Decurity 与 Defimon Alerts 指出,漏洞源于 V2 协议 manageUserBalance 函数的访问控制逻辑错误。正常情况下,系统应校验调用者是否为账户所有者,但代码错误地验证 msg.sender 与用户自定义参数 op.sender 是否相等。由于 op.sender 可由用户任意输入,攻击者得以伪造身份,绕过权限验证执行 WITHDRAW_INTERNAL 操作,从金库中直接提取任意账户资产。换言之,任何人都可冒充任意账户所有者提款。如此基础的访问控制失误出现在运行五年的成熟协议中,令人震惊。回顾历史可见,Balancer 的复杂性与快速迭代导致安全边界不断模糊 —— 允许最多八种代币的自定义权重池设计虽提升灵活性,却指数级放大攻击面。随着功能叠加与技术债累积,Balancer 的代码结构宛如脆弱积木塔。最新漏洞揭示的,不只是一次合约失误,更是一种 DeFi 发展路径的隐忧:在叙事与资本狂热下,代码稳健性似乎成了次要考量。(来源 )
2️⃣ IOSG 周报|为什么纳瓦尔说:ZCash 是针对比特币隐私的保险
导读:在过去的几个月里,Zcash($ZEC)成为焦点,在 2025 年 9 月的 30 天内,Zcash 从 47 美元上涨到 292 美元,涨幅高达 620%。目前达到 8 年以来的最高价 429 美元,使其 FDV 超过 80 亿美元。
IOSG Ventures:Zcash 是一种专注隐私保护的去中心化数字货币,于 2016 年 10 月正式推出,源自比特币代码库的分叉,沿袭了后者的核心货币原则:2100 万枚固定上限、可预测的减半周期、公平发行与无权限网络架构。Zcash 的最大特征在于其隐私机制 —— 使用零知识证明技术 zk-SNARKs(Zero-Knowledge Succinct Non-Interactive Argument of Knowledge)。这使得交易可在不暴露发送方、接收方或金额的前提下得到验证,从而实现了比特币未能完成的完全加密交易愿景。当用户进行屏蔽交易时,所有关键细节 —— 包括发送者地址、接收者地址与金额 —— 都在链上被完全加密。发送方通过其私钥生成 zk 证明,验证自身确实拥有资金、资金来源合法、输入输出平衡且未重复花费,其他节点可利用公钥即时验证该证明。zk-SNARK 的核心优势在于验证高效、体积小,仅需几百字节与毫秒级处理。Zcash 同时提供可选隐私,用户可选择透明或屏蔽模式,以兼顾合规审计与隐私自由。ZEC 拥有双地址系统:透明地址(t-addr)与屏蔽地址(z-addr)。透明交易如同传统公链,而屏蔽交易则完全加密,仅交易双方或持有查看密钥者可见,真正实现了币的可替代性与链上隐私。
为解决隐私实现的性能与可信性挑战,Zcash 在八年间经历了三次重大技术演进。第一阶段是 Sprout(2016),它首次在公共区块链上验证了基于 zk-SNARK 的隐私交易可行性,但计算需求庞大(需数 GB 内存),且依赖一次性可信设置。著名泄密者爱德华・斯诺登以化名约翰・多伯丁参与了该设置仪式,确保无一方能单独破坏系统。随后是 Sapling(2018) 升级,性能提升百倍,使隐私交易在移动端也可运行,并引入多样化地址与查看密钥机制,增强了用户控制与合规性。最终的 Orchard(2022) 阶段,Zcash 通过 Halo 2 零知识证明系统实现了无信任隐私,完全取消了可信设置,支持批量验证与更快同步,并引入统一地址(Unified Address, UA),可整合 Orchard、Sapling 与透明池的接收端。现代钱包会自动将新交易导向 Orchard,使屏蔽成为默认选项。总体而言,Sprout 证明了隐私可能,Sapling 让其实用,而 Orchard 则使其无需信任、具备可扩展性。未来的 Crosslink 升级 计划引入混合共识模型,将工作量证明与权益证明相结合,使 ZEC 持有者可抵押代币获得收益并参与区块最终确定。此外,Tachyon 项目 正在通过证明携带数据等创新手段解决隐私扩展瓶颈,目标是实现行星级私密支付性能。
Zcash 的近期爆发与生态转向息息相关。从 2025 年 9 月起,ZEC 价格从 40 美元飙升至 400 美元以上,涨幅逾十倍。推动力之一是 ECC 推出的官方钱包 Zashi,标志着项目从密码学研发转向用户体验导向。Zashi 的界面与主流 EVM 钱包媲美,内置查看密钥、硬件集成与多池统一支持,并默认进行屏蔽交易,极大降低了隐私使用门槛。其推出后,ZEC 屏蔽地址持币量激增至 450 万枚,占总供应 28%,隐私资金池规模创历史新高,匿名集扩大带来隐私增强与流动性收紧,形成价格支撑。更重要的是,Zashi 集成 NEAR Intents - Crosspay,实现跨链隐私支付:用户可在不暴露 ZEC 地址的情况下,从其他链换入或换出资产,彻底摆脱中心化交易所依赖。Crosspay 作为桥接层,利用 NEAR 的链抽象协议,让用户只需签署一次意图即可完成跨链结算。自该机制推出后,ZEC 相关 NEAR 意图占总量 30% 以上,显著扩大了生态流量。在监管趋严、混币器被封禁的背景下,Zcash 以金融自由叙事重新走红。加之 2024 年 11 月的第二次减半事件使通胀率骤降,ZEC 呈现典型供需收紧行情。隐私叙事、钱包体验与稀缺性三重因素交织,使 Zcash 再度成为隐私金融领域的焦点资产。( 来源 )
3️⃣ 【英文长推】揭开 Crypto x AI 的面纱:潜力、机遇与风险
导读:AI 不仅提升了 Web3 的交互效率与可用性,也正在成为保护链上生态安全的关键防线。
Miles Deutscher:在加密领域,AI 被许多人视为时髦的噱头,但实际上,人工智能与 Web3 的融合(Crypto x AI)正在形成实质性的交叉场景,有望改变市场运作方式。首先是交易管理领域:未来的交易者或许无需亲自操作,而是部署一个智能 AI 交易助理,由它自动执行买卖、仓位管理和风险控制。例如 @HeyAnonai 这样的协议,已能通过自然语言提示执行链上交易、跨链桥接和资金操作。其次是 LLM(大语言模型)在 Web3 的落地。许多人以为 Web3 与 LLM 的结合只是让 ChatGPT 回答区块链问题,但真正的潜力在于让 LLM 成为人与协议之间的接口层。随着更多专为 Web3 数据训练的 LLM 出现,用户能通过自然语言实时访问链上市场情报,实现更高效决策。再次是安全与隐私领域:AI 模型能实时扫描链上交易模式,识别潜在攻击行为,几秒内发出警报。相比人类分析者,AI 具备极强的模式识别能力,有助于减少合约漏洞利用与资金损失。总体而言,AI 不仅提升了 Web3 的交互效率与可用性,也正在成为保护链上生态安全的关键防线。
Web3 也能反向促进 AI 的成长,帮助其解决当前困扰产业的四大问题:身份验证、经济参与、知识产权授权以及公平性。首先是验证人类与 AI 活动。随着生成式 AI 的普及,区分「人类行为」与「AI 行为」变得极其困难,而 Web3 的加密机制可通过三种方式缓解:1)采用「人类证明」(Proof of Human)机制,在不暴露身份的情况下确认操作主体是真人;2)对 AI 代理的所有链上行为进行加密签名,以保证可追溯性;3)通过链上日志建立公开的责任体系(On-chain Accountability)。其次是 AI 代理的经济参与。a16z 报告指出,AI 要发挥潜能,必须能自主进行经济交互。Web3 可通过标准如 x402 实现这一点 —— 它让网站在提供数据前要求支付微额费用,相当于给互联网加上钱包功能,让 AI 代理能自由支付与收取资产。第三,Web3 的智能合约能将知识产权授权逻辑写入链上,保证 AI 生成内容的权益归属清晰。@campnetworkxyz 就在构建此类协议,允许创作者在链上注册、授权与变现 IP。最后,去中心化的 AI 基础设施(算力、数据、存储等)能防止科技巨头垄断,使 AI 保持开放、公平与可验证。通过这些机制,Crypto 为 AI 的持续发展提供了真正的去信任底层。
尽管 Web3 与 AI 的结合潜力巨大,但仍存在三类重大风险。第一是提示注入(Prompt Injection)。这是攻击者通过恶意输入诱导 LLM 偏离原始指令、执行错误操作的攻击方式。在 Web3 场景中尤其危险,因为 AI 不仅生成文字,还能实际控制链上资产或合约。防御方法包括多层模型架构与强化系统提示。第二是错误信息的累积效应。随着 LLM 普及,AI 生成虚假公告、伪造审计报告或编造漏洞警报的风险增加。这不仅损害项目声誉,也可能诱发市场波动。不过,Web3 的加密签名与链上可验证机制可帮助抵御此类风险,例如通过验证来源或部署专门的反虚假信息代理。第三是代理误操作风险。随着 AI 交易助手获得代签权,用户资金可能因模型判断失误或输入错误而被误转、误购甚至交互恶意协议。总的来看,AI x Web3 的未来依旧充满机会与挑战。AI 能显著提升 Web3 的自动化与智能化,而加密技术则为 AI 提供信任与透明的执行框架。两者结合的真正价值,在于打造一个既能自由交互又可验证的数字经济体 —— 人类、智能代理与加密协议共同参与的新市场生态。【原文为英文】( 来源)
4️⃣ Balancer 被盗余震未平,Stream 的 xUSD 脱钩会影响你的哪些资产?
导读:市场并不好,愿你平安。
深潮 TechFlow:要理解 xUSD 的脱钩以及牵连到哪些资产,必须先弄清楚事情为什么会从 Balancer 蔓延到 Stream Finance。事件的导火索是老牌 DeFi 协议 Balancer 被盗超 1 亿美元,引发整个市场恐慌。虽然 Stream 和 Balancer 并没有直接关系,但随着情绪扩散,许多用户开始从各类协议集中提款,Stream 成为挤兑风暴的受害者。Stream 本质上是一个追求高收益的循环杠杆协议:用户存入资金后,协议会将这笔钱抵押借贷,再把借出的资金继续抵押借贷,如此循环,原本 1 亿的资产可能被放大成 3 亿甚至更多。根据官方公布的数据,Stream 用 1.6 亿存款撬动约 5.2 亿资产,杠杆高达 3 倍多。在市场稳定时,这种模式确实能产生亮眼收益,因此吸引大量用户入场。然而,一旦市场出现恐慌,用户开始集中提取资金,问题就暴露了 ——Stream 的钱不在自己手上,而是层层抵押、循环套娃。要满足提款需求,就必须逐层解仓、归还债务、赎回抵押品,这个过程复杂、耗时且依赖市场流动性。而就在这个关键时刻,Stream 宣布一位外部基金经理报告称约 9300 万美元资产失踪。本就恐慌的用户瞬间失去信任,xUSD 大量被抛售,从 1 美元跌至约 0.27。这不是技术问题,而是信心崩塌导致的脱锚。
xUSD 的脱钩并不只是 Stream 的危机,它可能引爆更大的系统性风险。链上数据显示,约 2.85 亿美元的贷款是以 xUSD、xBTC、xETH 等 Stream 发行的资产作抵押。如果这些抵押品价值归零,这笔坏账可能传导至多个借贷平台。简单来说,xUSD 就是一张我欠你美元的凭证,正常时能抵押借款,但当 xUSD 从 $1 坠至 $0.3,你抵押的 100 万实际上只值 30 万,却借出了 50 万,剩下的 20 万成为系统损失。更棘手的是,许多借贷协议使用硬编码预言机来评估抵押物价值,也就是说,即便市场价格已暴跌,系统仍认为 xUSD 等值 1 美元,导致风险无法及时清算,变成定时炸弹。从链上分析来看,敞口最大的受害者是 TelosC,规模高达 1.236 亿美元,涉及以太坊主网与 Plasma 链的多个借贷市场;如果 xUSD 归零,这批投资者将遭受巨大损失。第二大风险点是 Elixir 的去中心化稳定币 deUSD,它借给 Stream 6800 万美元,占 deUSD 储备的 65%。虽然 Elixir 声称拥有「1:1 赎回权」,但 Stream 表示在法律调查完成前无法支付,等于大部分资产被冻结。其他资金管理人也受牵连,像 MEV Capital、Varlamore、Re7 Labs 等都在不同链上存放大量 xUSD 或相关敞口。问题不是单一协议黑掉,而是上游风险爆炸,下游协议被动承受,资金链互相绑定,一处断裂便可能多点连锁倒塌。
要理解这场危机的本质,可类比 2008 年次贷危机:表面看是抵押资产失效,本质则是过度杠杆和系统风险叠加。Stream 把 1.6 亿放大成 5.2 亿看似 TVL 很高,但实际上只是同一笔钱在不同协议间重复循环、重复记账,这会造成 TVL 虚高的假象。一旦市场转坏,所有杠杆都反噬自己。次贷危机的爆发路径是:房贷违约→CDO 崩盘→金融机构爆雷→全球危机;这次的链上路径则是:Balancer 被黑→市场恐慌→Stream 挤兑→xUSD 脱锚→抵押资产清零→借贷协议坏账爆发。在没有监管和保险的 DeFi 世界里,没有最后贷款人,只有资本的自然清算。借贷协议高度依赖信任,一旦信心断裂,挤兑速度远超传统金融体系。更致命的是,许多风险在事前不可见,用户甚至不知道自己的资金被重叠抵押了多少层。Stream 的问题不是黑客攻击,而是模式本身在流动性危机下暴露了致命弱点 —— 高收益靠高杠杆,高杠杆遇上黑天鹅,就可能瞬间归零。未来几天,可能会看到更多协议因为抵押不足、资金无法赎回、清算失败而宣布损失。现在的市场环境并不好,也不宽容。希望你在追求收益的同时不要忽略风险:在去中心化的世界里,没有监管、没有保险、没有央妈兜底,你的最后防线只有你自己。愿你能平安度过暴风眼。(来源)
5️⃣ Solana 上的「隐形冠军」:市占悄悄拿下第一,暗池 HumidiFi 是如何做到的?
导读:HumidiFi 是 Solana 链上一个采用专业做市商自动做市商(Prop AMM)模型的去中心化交易所,被称为链上版 Citadel Securities。
PANews:传统 AMM(自动做市商)依赖「任意用户」提供流动性,采用最经典的恒定乘积公式 x*y=k 进行被动定价。为了让交易深度足够、滑点够低,这些 AMM 必须依赖庞大的 TVL,而 LP 则要承担无常损失、抢跑风险与价格剧烈波动带来的潜在亏损。相反,HumidiFi 所代表的专业做市商 AMM(Prop AMM)走的是完全不同的路线:流动性由专业做市团队统一提供,不对散户开放 LP 池,因此没有无常损失问题。更重要的是,它的定价不会根据用户的交易行为被动变化,而是像中心化交易所的专业做市商一样,持续主动管理库存、调节报价、实时更新价格。HumidiFi 每秒进行数次报价刷新,并使用私有订单流机制,避免被套利机器人抢跑,提升流动性利用率。流动性在预言机价格附近高度集中,使得极少的资金就能支撑巨额交易量。同时,它完全通过链上算法运作,不依赖人工干预,也不需要许可访问,只能通过 Solana 生态最大路由器 Jupiter 打开入口。可以把 HumidiFi 想象成链上 Citadel Securities—— 一个不靠 UI、不靠营销,只靠价格与执行质量取胜的专业加密做市系统。
HumidiFi 的成绩远比名字的低调更惊人:仅用 5 个月,就达成约 1000 亿美元累计成交量,占 Solana 全部 DEX 流量的约 35%。在大多数日子里,单日交易量维持在 10~190 亿美元之间,其 340 亿美元月度成交量甚至超过 Raydium 与 Meteora 的总和。它的执行质量同样令人震惊 —— SOL/USDC 的买卖点差比币安还窄,滑点更低、价格影响几乎被压到极限,成交成功率高达 99.7%,几乎不会出现失败订单。在资本效率层面,它堪称 DeFi 奇迹:仅依靠 530 万美元 TVL,就能支撑 8.19 亿美元的日交易量,实现了约 154 倍的资本效率,而传统 AMM 约只有 1 倍左右。预言机更新只需 143 计算单元,比普通 Swap 操作轻 1000 倍,使 Solana 的高性能完全发挥出来。结果就是:用户能拿到更好价格、几乎零滑点、交易速度极快,即便不知道背后是谁在做市,也能享受最优执行质量。这种隐形做市的能力,直接改变了 Solana 上的链上交易体验。
为何 HumidiFi 能打败竞争者?核心在于它技术极轻、价格刷新极快,并与 Jupiter 深度整合。Solana 链上超过 80% 的兑换流量由 Jupiter 处理,而 HumidiFi 占据 Jupiter 专业做市商路由 54.6% 的市场份额,越多交易流入,它的价格越好;价格越好,又吸引更多交易 —— 形成典型的流动性飞轮。此外,HumidiFi 没有前端界面,全部运行在链上,采用私有订单流降低 MEV 暴露、减少被监控机会,同时匿名运营让监管难以形成清晰追踪目标。在势能方面,当竞争对手想做到千万级交易量时,HumidiFi 已经先一步实现百亿级交易量。流动性会去最优价格的地方,而它已经领先。即将在 11 月通过 Jupiter 新推出的 DTF Launchpad 进行代币 $WET 售卖,分白名单、JUP 质押者与公开三阶段,以固定价格销售。最重要的是,$WET 没有任何 VC 参与,意味着风险投资若想买入,也必须在 ICO 阶段或二级市场购买。这是 Solana DeFi 历史中少有的「无 VC、靠产品吃饭」的做市协议案例。销售结束后,$WET 将立即在 Meteora 池子开放自由交易。对普通用户来说,这样一个链上 Citadel 式专业做市商,不仅重塑 Solana 的交易体验,也可能成为 DeFi 专业化的大拐点。( 来源)