🔐Solar收音台：聊聊DeFi安全，拉响链上警报 复盘Drift、AAVE等近期DeFi被盗事件，@DrPayFi 也来亲述昨晚 @humafinance v1 协议的漏洞攻击事件。身处黑暗森林，项目方如何以后规避类似事件的发生？用户怎样甄别协议风险，保护好自己的资产？本期邀请了安全专家和DeFi项目方们，从不同角度出发一起聊聊 ⏰5月13日 周三9pm HKT 🧑‍🏫主持人：@day1globalpod Co-founder @starzq 嘉宾：@humafinance Co-founder @DrPayFi @TradeNeutral @Neutraltrade_CN Founder Jared @zerodriftsec Founder @Normanrockon @FlashRescue Co-founder Darcy

Drift 被盗之后，除了 Solana 体系的 DeFi 安全之外，EVM 系的 DeFi 常规安全性也是需要关注的。很多老炮 DeFi，比如 Balancer 这种，今年也陆续在停运了 为了保证钱包安全，可以用 OKX 钱包扫下自己的 DeFi 持仓，并且更重要的是批量清理下授权 Revoke 也可以，但是批量清授权需要付 1.5u 开发费用

月初Drift（Solana上最大的永续合约平台）被盗2.95亿美元资产（主要是USDC资产），算是26年开年最大的DeFi安全事件。看Drift团队刚发公告推出完整恢复计划，Tether直接支持1亿多美金，同时宣布结算货币从USDC切换到USDT。这事表面是单一项目黑客事件，但事件解决的背后其实是Circle和Tether两个稳定币发行商的两种稳定币哲学的直接碰撞，也会深刻影响整个 DeFi 信任机制、Solana 生态流动性和稳定币市场格局，很值得聊聊。 1、梳理下时间线 1）4月1日黑客通过协议漏洞（具体审计细节尚未全公开）提取约2.95亿资产，其中USDC占比很高。黑客利用Circle的CCTP跨链桥，在6小时内把2.32亿USDC从Solana桥接收到以太坊，整个过程发生工作时间，链上痕迹明显。 2）之后社区包括社区（包括 ZachXBT 等）都在艾特circle官方要求立即冻结地址。circle官方回应：只能按法院命令或执法要求行动，没有法律背书很难执行冻结动作。 3）然后就是今天Drift团队宣布恢复方案，Tether站出来提供巨额资金支持，作为交换，Drift协议重启后全面切换USDT作为结算货币+做市商流动性支持。 2、为什么说是两个稳定币发行商的两种哲学的反映？ 1）Circle合规至上逻辑 Circle的核心立场：仅在有法院命令或执法要求时冻结 USDC，基于社区压力或“明显是黑客”就单方面行动。Dante Disparte)和Jeremy Allaire多次在官方博客声明/中强调：解锁将面临法律风险（侵犯财产权），会破坏“稳定币作为中性资产”的信任，也可能被逮捕。 这背后有着深刻的动机： Circle是美国本土上市公司，银行伙伴多、机构背书强，致力于走“成为数字美元基础设施”的路线。宁可短期内被 DeFi 社区骂无作为，也要避免任何“后门”或“任何执法”的指控。 2）Tether的“实用主义+拓展”逻辑： Tether 是加密货币玩家（离岸结构，历史更灵活），过去多次主动冻结非法资产，风格就是“危机即机会”。他们高更看重通过“救场”绑定 DeFi 项目、扩大 USDT 在 Solana 等高增长链的份额。 这次直接把 Drift（Solana 永续龙头）从USDC拉过来，是典型的“以战养战”。 总结就是Circle是把稳定币当成“受监管的金融工具”，优先合法性和长期牌照安全； Tether把稳定币当成“加密世界的血液”，优先速度和生态扩张。 3、对Circle的未来影响短期痛点明显，长期合规护城河可能更巩固 1）solanan生态短期内可能加速“去USDC化”（drift事件属于刚开始），USDC在高风险的DeFi场景中的采用率可能会出现阶段性下降； 核心是此次drift事件会让很多 DeFi 项目和用户重新评估风险——以后黑客事件里，USDC 资产可能更难迅速止损，USDT 的“出手相助”反而成为竞争优势。很多项目方和用户更在意“中心化稳定币发行方在危机中的响应速度” 2）中长期利好B端和合规 更多B2B支付、跨境结算、机构金库世界等真实场景对“随意冻结”风险极其敏感，更喜欢“只听法律、不玩灰色”的发行方。其实是强化了对机构/TradFi的吸引力。 Circle实质是在赌“监管最终会定义规则”，牺牲短期DeFi贡献换取长期合法性。 4、而对于Tether来说，短期内Solana永续交易的核心结算层切换成USDT,扩大了usdt在solana生态中的份额（之前usdc在sol生态份额最大），USDT流动性深度和市场收益大概率进一步放大； 树立“危机直接者”形象，吸引更多DeFi项目主动靠拢； 当然没有法律文件冻结地址未来容易被监管盯上（过去几年的老问题+这次“主动干预”可能被解读为“事实上的中心化控制”）；道德风险（外部救助可能鼓励项目在安全上放松）； Tether 赌的是“加密市场仍以速度和实用性为王”，短期生态拓展红利巨大。 其实，也很难说谁对说错，都是从自身的角度出来，要么短期利益最大化，要么然后短痛以期获得长期利益最大化。毕circle和tether两者来时路也完全不一样。

GitHub今天被AI+Web3基础设施彻底屠榜！这6个项目让开发直接开挂 兄弟们，彻底炸裂了！快点进来感受下！ 昨晚 GitHub 被这 6 个项目直接血洗： 1️⃣ addyosmani/agent-skills — 生产级AI编程技能库 32.9k stars，Google工程师出品，代码审查/重构/测试用例全封装，Agent不再是什么都会但什么都不精。 🔗 2️⃣ InsForge — Postgres全能后端神框 8.8k stars，认证+存储+计算+托管+AI网关一体化，专为Coding Agent设计的后端基础设施。 🔗 3️⃣ LearningCircuit/local-deep-research — 本地深度研究 6.2k stars，Qwen3.6-27B跑SimpleQA达95%准确率，支持10+搜索引擎，100%本地加密。 🔗 4️⃣ ccxt — 加密货币交易API 42.3k stars，支持100+交易所，JavaScript/TypeScript/Python/Go/C#多语言，套利#/量化神器。 🔗 5️⃣ SunWeb3Sec/DeFiHackLabs — DeFi安全审计 6.5k stars，用Foundry复现真实攻击案例，项目上线前必跑的安全检测链。 🔗 6️⃣ OpenBB — 金融数据分析平台 67.2k stars，加密+股票+期权+固定收益，一个平台搞定所有数据，分析师必备。 🔗 全栈基础设施一次性补齐，AI开发+Web3套利+安全审计一个都不落下。

香港嘉年华线下特别对谈✨ 特邀倪大 @PhyrexNi ，带来一场松弛又走心的深度长聊～ 整场没有刻意设定议题，全程随性畅聊、自在对话。 访谈重点速览🧐： 00:31 香港嘉年华之行｜跑会日常&随性闲聊 05:38 写新闻 vs 解读新闻，核心逻辑怎么看 10:43 长期不停更，如何维持高创作输出欲 16:53 创作者如何理性看待个人影响力 23:50 聊聊行业投资人视角与逻辑 25:36 深度解读预测市场的本质与现状 32:02 干货对谈：内容创作的底层逻辑 45:42 区块链行业现状与未来趋势研判 47:14 思辨探讨：AI助力区块链是伪命题吗 55:02 熊市下DeFi安全被盗事件思考 聊完真的被狠狠圈粉！ 倪大老师的真诚通透，搭配犀利独到的行业洞察，让我大受启发！特别感谢倪大老师专程在香港抽空参与～ 完整版视频已上线，按需跳转，解锁满满干货与深度思考

🔐 TokenPocket 上线「禁止 Permit 操作」开关！ 什么是 Permit 签名？ 「Permit 签名」是一种常见的授权机制，允许用户在签署特定消息后，授权某个智能合约或地址离线操作用户的代币。💳 ⚠️「 Permit 签名」的潜在风险 「Permit 签名」的本质是你签了一个合同，告诉智能合约A，DApp-B 可以调用你的资产去完成交互，黑客会通过第三方钓鱼网站引导你完成签名来“窃取”你签好的合同，来告诉智能合约A，他可以调用你的资产，从而转移你所授权的资产。（目前，Permit是钓鱼攻击的重灾区。） 在最新的 iOS 版本 中，TokenPocket 推出了「禁止 Permit 操作」开关，让您可以自由选择是否允许 Dapp 使用「Permit 签名」授权。 ⚙️ 设置入口 1️⃣ 打开TokenPocket 应用 (iOS最新版本) 📱 2️⃣ 点击 “我的” -> “使用设置” ⚙️ 3️⃣ 找到 「禁止 Permit 操作」，根据需求切换开关 🔄 （禁止后，DApp 将无法使用 Permit 签名方法授权代币） 一站式查询并取消钱包授权记录！ 👉 💡 一站式体验，尽在 TokenPocket！ 👉 #TokenPocket# #Permit签名# #DeFi安全# #CryptoWallet# #资产保护# #区块链安全# #数字资产# #TokenPocket更新#

DeFi TVL 越高，越不能激进。 很多人以为大协议更安全，因为钱多、审计多、团队强。 但攻击者看到的是另一件事： 奖池更大了。 一个协议只有 100 万美元 TVL，攻击者可能懒得研究。 但如果 TVL 到了 10 亿美元，哪怕漏洞极难、路径很复杂，也值得花几个月去拆。 所以 TVL 上升，不只是信任上升。 也是攻击激励上升。 大协议真正需要的，是更保守的设计： 权限更慢； 升级更慢； 参数更慢； 外部依赖更少； 损失上限更低； 熔断更快。 DeFi 的安全不是看“有没有漏洞”。 当漏洞一定会出现时，它能不能被限制在一个可承受的损失范围里。

没想到这篇文章出自鲸鱼 defi用户，而不是任何的安全公司或 defi协议从业者，大概只有用户，才有切身之痛，才久病成医，里面的可行性操作，有一部分感觉是可行的，如提现时间锁，更大的意义是此篇抛砖引玉，引起更多的力量，趋向讨论未来 defi 的安全机制。