事件回顾
2026 年 1 月 20 日凌晨,一场高度精准的闪电贷攻击从 Curve 上的 DUSD/USDC 流动性池中抽走了约 420 万美元,成为 2026 年初最具技术针对性的稳定币攻击事件之一。这次攻击并未触及 DUSD 的核心铸造或赎回机制,而是集中打击单一流动性场所,清晰地揭示了在预言机依赖、流动性假设与 DeFi 可组合性相互叠加时,系统性风险如何在局部被迅速放大。
DUSD 是由多链 DeFi 执行引擎 Makina Finance 发行的稳定币。根据事后披露的信息,攻击者通过闪电贷借入约 2.8 亿美元的 USDC,在极短时间内操纵与该池相关的价格输入,虚增流动性头寸的账面价值,并在系统尚未来得及重新校准之前完成套利,最终将池中约 1,299 枚 ETH 等值资产全部转出。
需要强调的是,此次事件并未影响 DUSD 的整体供应,也未波及单纯持有 DUSD、Pendle 或 Gearbox 头寸的用户。Makina 在事后第一时间明确了这一边界,但攻击发生的速度与精准度仍然表明,即便是看似隔离良好的流动性池,在资本高度集中、预言机响应存在时间差的情况下,依然可能成为“单点失效”的突破口。
攻击是如何完成的
从技术路径看,这次攻击延续了近年来 DeFi 安全研究者已较为熟悉的模式,但在执行层面更加克制而集中。攻击者利用巨额、瞬时注入的 USDC 扭曲了 DUSD/USDC 池的价格结构,使依赖该价格的相关逻辑在同一区块内产生错误判断,从而制造出“流动性充足”的假象,为无风险套利创造条件。
由于闪电贷无需前置资本,且必须在同一交易中完成偿还,攻击者几乎不承担方向性风险,其核心手段在于时间维度上的价格扭曲。这种漏洞类型在多个 DeFi 场景中反复出现,尤其是在流动性池依赖单一或短期价格信号,而非时间加权或多源聚合数据时,更容易被短暂失衡所利用。
最终结果并非系统性崩溃,而是一次干净利落的抽取。Makina 随后披露,约 510 万枚 USDC 等值资产从该池中流失,损失完全由流动性提供者承担,而协议其余部分保持正常运作。
事后处置与隔离
Makina 的应对速度在一定程度上体现了 DeFi 在多次安全事件后的成熟度提升。团队迅速确认攻击范围仅限于 Curve 上的 DUSD/USDC 池,并在攻击发生前已完成流动性提供者余额的快照,同时启动“恢复模式”,允许受影响的 LP 单边赎回至 DUSD,以避免进一步的恐慌性挤兑。
在 1 月 21 日发布的官方声明中,Makina 表示已掌握有关攻击者链上身份的线索,并正在尝试与其取得联系,同时承诺在完成安全调整后重新启用赎回功能,并提供替代性退出方案。这种处理方式与早期 DeFi 事件中信息滞后、影响范围不清晰所导致的连锁反应形成鲜明对比,也说明如今协议之间的差异,越来越体现在事后管理能力而非绝对的“零漏洞”承诺上。
市场信号与流动性记忆
DUSD 事件的启示之一,在于它与此前的流动性叙事形成了强烈反差。就在几个月前的 2025 年 9 月,DUSD/USDT 交易对曾在 PancakeSwap 的 TVL 排行榜中位居首位,锁仓量达到 1.29 亿美元,24 小时成交额 8,211 万美元,7 日成交额累计 4.39 亿美元,在部分交易生态中被视为高活跃度、强流动性的代表。
这一历史背景尤为重要,因为它揭示了一个反复出现的 DeFi 规律:流动性深度本身并不等同于安全性。当资本高度集中、稳定币锚定关系被视为理所当然时,这类池子反而更容易成为“定向爆破”的理想目标,尤其是在激励机制与价格假设未被持续压力测试的情况下。
从这个角度看,这次攻击并未直接否定 DUSD 作为稳定币的可行性,但它再次验证了一个长期存在的事实:最“稳定”的场所,往往在对手具备足够工具时,成为最具性价比的攻击目标。
更广泛的稳定币启示
跳出单一事件,DUSD 的闪电贷攻击折射出链上稳定币在跨链、跨协议扩张过程中面临的结构性挑战。可组合性极大提升了资本效率,却也构建了复杂的依赖网络,使得局部失效可能对特定用户群体产生不成比例的影响。
随着监管机构、机构资本以及基础设施提供方逐步将稳定币视为支付与结算层,而非单纯的交易工具,类似事件正在迫使市场更清晰地区分协议层面的稳健性与具体流动性场所的风险。对追逐 LP 收益的用户而言,这种区分尤为关键,却也常常被忽视。
此次事件中,DUSD 持有者本身并未受到影响,这一点或许有助于 Makina 维持整体信誉;但从更长远的视角看,DeFi 稳定性的下一阶段,可能不再由 TVL 数字或表面流动性决定,而取决于协议如何设计、隔离并加固其最脆弱的环节,尤其是在闪电流动性与价格发现发生正面碰撞的地方。