下载

如何在DeFi收益中余额风险和回报？

By: rootdata|2026/04/26 20:11:42

SOL

ZRO

AAVE

作者：汤姆·邓利维

整理人：嘉华，ChainCatcher

KelpDAO 上价值 2.92 亿美元的跨链桥漏洞引发了 Aave 的连锁反应，在 48 小时内导致 DeFi TVL 损失 130 亿美元。

如果你在货币市场通过 USDC 获得 5% 的收益，那么相关的问题不是 DeFi 是否有风险，而是你所承担的风险是否得到了适当的补偿。让我们用债券数学来解决这个问题。

两周前，攻击者通过被攻破的 LayerZero跨链桥从 KelpDAO 窃取了 2.92 亿美元。被盗的 rsETH 随后被重新存入 Aave V3 作为抵押品，导致 Aave 的余额表上出现约 1.96 亿美元的坏账，使得 TVL 在三天内从 264 亿美元暴跌至 179 亿美元。

两周前，由于朝鲜黑客泄露了管理员密钥，Solana 的 Drift协议损失了 2.85 亿美元。这是一起社会工程攻击，其计划始于 2025 年秋季。

三周内，这两起事件造成的永久性损失总计达 5.77 亿美元。Aave 的 USDC 市场连续四天资金利用率达到 99.87%，借款利率飙升至 12.4%。Circle 的首席经济学家 Gordon Liao 提交了一份治理提案，将借款上限提高三倍，仅仅是为了清理积压的提款申请。

对于一个月前还在以 4% 到 6% 的收益率向 DeFi 货币市场提供稳定币的人来说，有一个问题格外引人注目：这些收益率曾经合理吗？

我们是否已从 DeFi 中承担的风险中获得充分补偿，以及未来的价差应该如何设定，都值得深入探讨。

传统金融如何定价风险

每只公司债券的收益率都是风险赔偿的总和。这一推论的核心公式是：

收益率 = 无风险利率 + [PD x LGD] + 风险溢价 + 流动性溢价

Rf 是无风险利率，以期限相同的政府债券为基准。PD x LGD 是预期损失：违约概率乘以违约损失，其中 LGD 等于 1 减去恢复率。

风险溢价补偿了预期损失的不确定性——即使两只债券的违约概率 (PD) 和违约损失率 (LGD) 相同，但如果其中一只债券的潜在结果波动性更大，那么它们的定价仍然会不同。流动性溢价可以弥补退出成本。

穆迪自 1920 年以来的长期数据提供了一个基准：

美国投机级债券的长线平均年违约率为 4.5%，目前滚动 12 个月的违约率为 3.2%，预计到 2026 年第一季度将升至 4.1%。无担保高级高收益债券的历史回收率集中在 40% 左右，而 LGD 约为 60%，导致高收益债券的预期损失按年均计算为 2.7%。

在私人到账，KBRA 预计到 2026 年直接贷款的违约率为 3.0%，回收率约为 48%。高级担保杠杆贷款的历史回收率在 65% 到 75% 之间。

今日市场收益率现状如何

让我们来看看今天的实际数据。周三，10年期美国国债券收于4.29%。截至 2026 年四月，ICE BofA到账评级体系的期权价差（衡量债券相对于国债风险高出多少的指标）显示：

模式很简单。从政府债券到投资额级债券，再到投机级债券，最后到次级商业房地产债券，收益率逐步上升，以弥补违约概率和损失严重程度的增加。

直接贷款收益率约为 9%，这并非因为借款人违约率较高，而是因为持有流动性差的私人票据的流动性溢价是真实存在的，而且是显而易见的。

现在，让我们看看在海带事件发生之前，Aave 的 USDC 利率是多少——大约 5.5%，定价介于投资额级债券和 B 级高收益债券之间。

Morpho 汇集了一个精选的管理金库，收益率约为 10.4%。这两个数字不能同时代表同一潜在风险的正确估值。

DeFi 拥有传统金融中不存在的三种“违约”类型。

传统到账违约很乏味：借款人未能支付利息，债券持有人触发加速到期，然后进行重组、资产出售和谈判以确定回收金额。

DeFi 缺乏这种资产处置流程；它容易受到剥削。故障模式主要有三种：

模式 1。智能合约漏洞

代码缺陷：重入漏洞、输入验证错误、缺乏访问控制。攻击者耗尽流动性池。对于直接遭受攻击的协议，如果白帽黑客归还资金，其历史恢复率在 5% 到 15% 之间，而涉及朝鲜黑客的案例则基本为零。

2021 年 Poly Network 的攻击者归还了全部 6.11 亿美元，这看起来就像是一种消遣。从 Ronin 追回 6.25 亿美元，从 Wormhole 追回 3.25 亿美元，是因为 Sky Mavis 和 Jump Trading 用自己的余额表提供了担保——这不是资产追回；这是股东救助。

模式 2。Oracle 操纵和治理攻击

价格信息遭到破坏，通常是通过操纵流动性不足的去中心化交易所（DEX）资金池，从而导致坏账。或者，攻击者会积累治理代币，并通过恶意提案耗尽国库资金。2022年，Beanstalk因此损失了1.82亿美元。

此类攻击通常可以通过协议层面的干预部分逆转，但贷款人对“资产”的索偿权最终往往变成了对毫无价值的代币的索偿权。

模式 3。可组合性级联效应

这是 KelpDAO 的故障模式，也是最危险的故障模式，因为它最难审计。协议 A 发行流动性质押或再质押代币，协议 B 接受这些代币作为抵押品，协议 C 将它们桥接到另一条链上。供应链中的任何漏洞都会导致下游职位成为孤立职位。

攻击者无需攻破 Aave；他们攻破了 rsETH，而 Aave 的贷款人承担了坏账。

这三种模式有一个共同点，使 DeFi 与所有传统到账市场区别开来：一旦出现问题，它可能在几分钟内爆发，而不是在几个季度内爆发。

没有合同重新谈判，没有 DIP 融资（债务人持有资产融资，即在破产保护期间为维持运营直至重组完成而获得的新融资，具有优先偿还权），智能合约直接执行。

代码就是法律——当代码失效时，损失几乎是灾难性的。

Aave V3 中 rsETH 的坏账在短短四个小时内从零飙升至 1.96 亿美元。相比之下，BB 级违约企业从出现压力迹象到完成重组的中位时间为 14 个月。

数据显示 DeFi 变得更安全了吗？并非如此简单

传统叙事在这里开始站不住脚了。Chainalysis 在 2025 年十二月的年中更新中记录了一个惊人的分歧：尽管 DeFi 的总锁定价值 (TVL) 从 2024 年初的 400 亿美元回升到 2025 年十月的峰值约 1750 亿美元，但 DeFi 特有的黑客损失仍然接近 2023 年的低点。

2025 年加密货币盗窃案总额达 34 亿美元，主要集中在中心化交易所漏洞（仅 Bybit 一家就占 15 亿美元）和个人钱包泄露（占被盗数值的 44%，高于 2022 年的 7%）。

数据来源：Chainalysis 2025 年和 2026 年加密货币犯罪报告

如果只看图表 02，你可能会得出结论：DeFi 正变得越来越安全。这部分是正确的：智能合约审计已经成熟，像 Immunefi 这样的漏洞赏金计划现在保护着超过 1000 亿美元的用户资金，而跨链桥架构正在慢慢采用时间锁和多方验证。

但 2026 年的记录却呈现出不同的景象。四月1 日，Drift 损失了 2.85 亿美元；四月18 日，KelpDAO 损失了 2.92 亿美元。这两起九位数的损失活动均发生在 18 天内，目标是可组合性的薄弱环节，而不是借贷的核心原语。

相对于平均总锁定价值（TVL），近年来DeFi的年化亏损率约为：

2024年：DeFi 特有的损失约为 5 亿美元，平均总锁定价值为 750 亿美元 = 年损失率为 0.67%。

2025年：DeFi 特有的损失约为 6 亿美元，平均总锁定价值为 1200 亿美元 = 年损失率为 0.50%。

从2026年初至今（年化）：第二季度单次事件损失约5.77亿美元，总损失额为950亿美元=如果这种速度持续下去，潜在的年损失率可能达到2.0%至2.5%。

假设高质量 DeFi 借贷的预期年违约概率 (PD) 为 1.5% 至 2.0%，应用 90% 的违约损失率 (LGD)——当没有外部余额表愿意提供支持时，直接剥削的平均回收率为 5% 至 15%——预期损失将为每年 1.35% 至 1.80%。

这已经高于高收益债券的收益率了。此外，它没有账户到不确定性、流动性不足、监管不对称以及可组合性传染的独特结构带来的溢价。

DeFi收益应该是多少？

这正是债券数学真正发挥作用的地方。我将对假设的高质量 DeFi稳定币存款的合理收益率进行定价——具体来说，就是使用 USDC 在 Aave 或 Compound 在以太坊主网的超额抵押借贷头寸，目标客户是零售借款人和量化借款人。

以 10 年期债券率为基础构建公允数值收益率。该框架遵循 Duffie-Singleton到账价差分解，并针对 DeFi 特有的故障模式进行了调整。

各组件详情：

风险构成溢价无风险基准（10年期美国）国库）+ 4.30% 预期损失（违约概率 × 损失率）+ 1.50%预言机操纵风险 + 0.75% 治理/管理员密钥风险 + 1.00% 跨链级联风险（例如 Kelp活动）+ 1.25% 监管不对称风险 + 1.25%稳定币脱钩风险 + 0.50%流动性溢价 + 0.50% 模型不确定性溢价 + 1.50% =合理收益率下限12.55%

因此，对于主流协议上的高质量 DeFi稳定币存款，利率下限不应低于 13%。有明确保险（Nexus Mutual 保险、伞式协议储备）的头寸可以略低一些，而涉及长尾协议、新部署市场或重新质押以及跨链基础协议风险敞口的头寸则应该更高一些。