目錄

• 你可能想知道
• 主要議題
• 重點洞見表
• 後續...

你可能想知道

• AI 支援的攻擊者會讓去中心化金融對大型機構投資組合來說本質上過於風險嗎？

• 攻擊者資源與機構防禦間的結構性差距是什麼，導致銀行不願上鏈？

主要議題

傳統金融機構正積極探索在未來十年將大量資產遷移到區塊鏈系統的方法。許多業內人士設想未來會有數兆——可能是數十兆——美元的資產被代幣化並在去中心化帳本上管理，承諾帶來效率提升、程式化特性與新型流動性。然而儘管有此興趣，因為反覆發生的安全事件、智慧合約被利用以及跨鏈基礎設施的漏洞，廣泛的機構採用仍然停滯不前。

資安公司與實務者觀察到針對去中心化金融（DeFi）協議的攻擊頻率與複雜度顯著上升。在數起近期高調案例中，攻擊者從交易所與借貸平台抽走了數億美元——有一例甚至超過十億美元。這些事件說明在持久性、資源配置與快速迭代漏洞利用技術方面，攻擊者往往勝過防守方。

機構仍不願將大量資產上鏈的核心原因之一，是與智慧合約及相關組件（如預言機與跨鏈橋）相關的營運風險。智慧合約是不可變的程式，若有缺陷會被自動利用。向鏈上邏輯提供真實世界資料的預言機可能被操縱；連接不同區塊鏈的橋樑可能成為竊取流動性的目標。當這些組件失效時，損失是立即且常常不可逆的。

除了技術攻擊面以外，攻守經濟也存在偏差。惡意行為者可以將資本與運算資源集中在單一有利可圖的目標上。他們可能持續運行自動化漏洞掃描，在數週內探測協議弱點，並享有相對於防守方有限預算的無限營運持久性。對許多協議而言，一次成功攻擊所獲報酬遠超攻擊者在工具與運算上投入的成本，這促成了持續探測的強大財務動機。

相比之下，機構級防守方──無論是內部資安團隊、第三方稽核還是漏洞懸賞計畫──都在嚴格的商業與預算限制下運作。專案通常只分配資源進行定期稽核、有限監控與固定上限的漏洞懸賞。這種錯配造成不對稱：防守方在有限時窗內掃描漏洞，而對手可持續且機會主義地搜尋單一可利用的缺陷。

AI 的引入進一步加速了攻擊速度並降低了複雜漏洞的成本。機器學習與大型語言模型可以生成利用載荷、識別智慧合約程式碼中的脆弱模式，並以規模化自動化進行偵察。這加速了從發現到利用的流程，壓縮了從識別到盜竊的時間線。資安專家警告，AI 驅動的工具已使先前困難的攻擊類別變得常態化，改變了攻守雙方的動態。

真實事件凸顯了系統性風險。數起顯著的漏洞利用展示了現代攻擊的規模與速度：大型交易所與借貸池在單次事件中失去數億美元，且在 12 個月內的累積 DeFi 損失已遠超十億美元。這些事件不僅造成直接財務損害，也加深了機構的疑慮。保守的資本配置者優先考量資本保全與法規合規；鏈上不可逆且高調的損失前景是採用的一道強大障礙。

法規與地緣政治發展也加劇了這些安全顧慮。執法與制裁機制有時會介入加密資金流，沒收不法所得或針對國家級金融管道。雖然此類行動顯示當局在某些情況下可以追蹤並沒收加密貨幣，但它們並未消除由於複雜犯罪組織或國家支持的行為者所帶來的市場層級風險，這些勢力能夠迅速且不透明地移動價值。

要讓傳統銀行與資產管理者將大量資本投入鏈上原生工具，若干條件可能需要改善。包括更強的協議工程標準、更健全且持續的安全工具、更清晰的法律與監管框架，以及在設計中納入安全性的跨鏈互操作性整體改善。機構也期望可靠的託管解決方案、保險支援與能滿足內外部合規要求的稽核軌跡。

其中一些改善已在出現。資安公司正在擴展持續監控，業界正嘗試對關鍵程式路徑採用形式化驗證技術，且加密風險保險市場也在慢慢成熟。儘管如此，攻擊者創新的速度——在 AI 與無限持久性的助力下——意味著這些防禦措施必須快速擴展以應對威脅格局。在攻擊者的經濟誘因未被重新平衡或防禦達到可比較的規模與自動化之前，許多大型資產管理者仍會對將大量資金託付給鏈上系統保持謹慎。

總之，數兆資本上鏈的承諾是真實存在的，但仍取決於能否縮小日益擴大的安全缺口。AI 支援的攻擊者與受限防守者間的相互作用、跨鏈構造的脆弱性以及鏈上損失的最終性，共同構成對以保護客戶資本並符合法規義務為目標的風險厭惡型機構的可信威懾。

重點洞見表

後續...

展望未來，機構上鏈採納的軌跡將取決於防守方能否擴展保護以匹配攻擊者的持久性與 AI 驅動的創新。如果安全工具、形式化驗證與市場機制（如保險）快速成熟，機構或可獲得將大量資本上鏈所需的信心。若無此進展，持續被利用的壓力與保守的風險管理雙重作用，可能會使許多大型金融行為者留在旁觀者位置，放慢真正代幣化金融系統的實現。