撰寫： Omer Goldberg ，Chaos Labs 創辦人

編譯及整理：BitpushNews

我創立Chaos 是因為我相信兩件事：

• 金融的未來是在鏈上的。
• 在那個未來中，沒有任何一個版本是允許鏈上系統的安全性低於它們所取代的系統的。

五年後，這兩點依然是事實。

Chaos 與Aave、Ethena、Kraken、PayPal、LayerZero、Jupiter、GMX 等夥伴共同朝著這個願景努力，處理了數萬億美元的累計交易量，且實現了零壞帳。

每一次安全事件都遵循同一個劇本

但在這領域深耕五年，也意味著能近距離觀察那些不斷出錯的一切。

每一次漏洞利用（Exploit）都遵循同樣的劇本。

某些環節斷裂，數百萬美元消失，加密貨幣推特（Crypto Twitter）群情激憤。

每個人都同意這很糟糕！

但隨後幾週過去，我們就轉向了下一個鬧劇。隨著注意力消散，沒有任何實質的改變。

誘惑在於，人們傾向於放大（Zoom in）到單一團隊、單一漏洞、或單一漏掉的檢查項目上。有時候這種分析確實很重要；我也寫過很多類似的文章。

但在觀察了多年同樣的循環後，模式已經很清楚了。這些並非孤立的失敗。

我們的行業結構就是為了產生這些結果而建構的。

激勵

查理·芒格曾說：「告訴我激勵機制，我就能告訴你結果。」

在傳統金融和Web2 安全領域，一旦你觸碰了客戶資金或關鍵系統，風險管理就變成了** 非自由裁量（強制性）** 的。那裡有標準、審計、採購要求、保險公司和監管機構。它們中沒有一個是完美的，但集體構成了底線。

加密貨幣從未建立起那一層。

所以，是的，加密貨幣有一個安全問題。

但這個安全問題是下游產物，其上游是一個更大的市場誘因問題。

如果沒有那種結構，成長看起來像進步，而風險看起來像成本。

理性的決定和正確的決定還不是一回事，在激勵機制改變之前，它們也不會是一回事。

市場是如何建立的

雲端安全公司如果年收入（ARR）達到500 萬美元，且在正確的利基市場快速成長？收購者和投資者會以20 倍的營收估值去爭取它。

谷歌以超過30 倍的前瞻性營收估值，斥資320 億美元收購了Wiz。

這些估值並非憑空而來。

它們之所以存在，是因為買家已經存在；而買家之所以存在，是因為監管創造了他們。

如果你處理支付數據，PCI DSS 會告訴你需要承擔什麼責任。

如果你是上市公司，SEC（美國證券交易委員會）規則要求你揭露重大網路安全事件。

一旦這種問責機制被定義，預算、採購流程和行業類別隨之而來。

那些本來可以去開發遊戲、社群應用或B2B 軟體的天才，之所以選擇建構安全產品，是因為經濟回報豐厚。問責創造需求，需求吸引人才，而人才才是真正讓系統更安全的核心。

一個高效率的市場會吸引產業最需要的人。

證據就在合規堆疊中

有人會說：「但是加密貨幣確實有大型安全公司。那Chainalysis 和TRM 呢？」

這正好證明了我的觀點。看看這些業務存在的原因：

如果你是美國的貨幣服務業務（且大多數加密公司都是），你必須遵守《銀行保密法》（BSA）、OFAC 制裁篩選和FinCEN 的反洗錢要求。

• 司法部（DOJ）曾因反洗錢失敗對OKX 處以超過5 億美元的罰款。
• Bittrex 因允許用戶在敘利亞、伊朗和古巴規避制裁而支付了2,900 萬美元。

而這種執法正在變得越來越強，而非削弱。 《GENIUS 法案》將支付類穩定幣納入了BSA 的範疇，FinCEN 的新檢舉框架意味著每位離職員工現在都有經濟動力去報告合規漏洞。

公司不會只買一種合規解決方案。他們會買兩到三種，因為當司法部或FinCEN 來問責時，唯一的問題就是你是否做了「最佳努力」。

這是「保命用」（CYA）的基礎設施。

國稅局（IRS）在TRM 推出後不久就開始與其合作，儘管它已經使用了多年的Chainalysis，具體原因正是它不想把所有雞蛋放在一個籃子裡。 TRM 的估值達到了10 億美元。 Chainalysis 高峰曾達86 億美元。

它們的存在只有一個原因：買家不需要去思考這個問題是否重要。

缺口在哪裡

現在，指名道姓看哪些領域沒有那種強制功能（Forcing Function）：

• 對於一個持有20 億美元用戶存款的借貸協議，並沒有所謂的《銀行保密法》。
• 對於一個處理數十億訂單流卻不壓力測試其清算引擎的永續合約DEX（Perp DEX），沒有類似OFAC 的責任追究。
• 當治理參數或多簽（Multisigs）改變並增加系統性風險時，沒有強制揭露要求。
• 當協議利用用戶資金推出新的金庫策略時，沒有採購要求。

Chainalysis 和TRM 並沒有證偽我的論點。它們正是論點本身。凡是有強制性監管的地方，市場就會建立。凡是沒有的地方，市場就缺失。

我不是來為監管辯護的

如果你在2013 年我第一次被比特幣白皮書吸引時（Nerd sniped）告訴我，我將來會寫這樣一篇文章，我是不會相信你的。

我曾被學校開除，大學退學，從來不服管教。我在Meta / Instagram 工作了多年，那裡的格言是「小步快跑，推陳出新」（Move Fast and Break Things）。

所以，我進入加密領域時帶有深度的反權威色彩，並堅信我們可以無需任何中心化權威告訴我們怎麼做，就能建立起更好的東西。

但是，十多年後，我終於了解保護使用者的標準和規則為何存在。並不是因為它們完美。它們顯然不完美。

而是因為，一旦完全任由我們自行其是，我們反覆證明了自己真實優先考慮的東西是什麼。

我們擁有了自由。我們也擁有了時間。

今天的行業現狀是我們選擇的結果，但結果不言而喻。

逆向選擇

如果沒有強制功能，市場就會反轉。

在健康的市場中，最需要安全控制的實體往往最可能採用它們，因為這是必須的。

而在加密領域，情況恰恰相反：

• 最優秀的團隊會很早就購買安全/ 風險基礎設施，因為他們想要長久生存。
• 最薄弱的團隊則會拖延、縮小範圍或在價格上比價，直到事故發生讓需求變得不可否認。而這些團隊正是最可能爆雷的。

這個品類最終被逆向選擇所定型：最需要保護的團隊，從系統層面來看，恰恰是最不可能為此付費的。

核心的不對稱性很簡單：

成長會體現在儀表板和投資者更新。

安全在起作用時，表現為“沒有新聞”。在受監管的市場中，「平安無事」依然對應著合規、審計準備、董事會報告和保險公司要求。而在加密貨幣領域，「沒有新聞」並不能為你贏得什麼。它看起來只是一個可以被削減的成本項。

理性的買家，在這些激勵機制內運作，總是能找到延後投入的理由。

你正在向那些因成長而獲得獎勵的買家，推銷「災難的缺席」。

缺失的市場結構不僅影響「誰買」。它也影響“買什麼”以及“買多少”。

美國銀行在合規方面的支出佔收入的6-10%。

美國和加拿大金融機構每年的金融犯罪合規總支出超過610 億美元。這種支出之所以存在，是因為背後的責任是不可協商的。

同時，2025 年整個DeFi 領域的漏洞賞金（Bug Bounty）總支出為1.12 億美元。這是衡量整個產業主動安全投資的僅有可量化指標之一，相較於310 億美元的協議收入，佔比僅約0.33%。而在同一年，業界因漏洞而損失了34 億美元。

預防預算在損失面前只是一個捨入誤差（Rounding error）。

這種差距並非偶然。在受監管的行業，安全預算追蹤的是義務，而不是季度的情緒。它能經得起市場下行的考驗，因為責任感始終存在。但在加密領域，支出是自由裁量的，所以它是週期性的。

在下行週期中，它們消失了。

同一個協議，在激勵、上幣、KOL 推廣和會議贊助上會投入重金，卻在涉及風險或安全項目時重新變得節儉。

這產生了大多數人沒想到的複利效應。

建構風險和安全基礎設施的公司無法提前根據需求招聘，無法在下行週期維持研發，也無法像收入底線穩固的公司那樣產生複利。

每個週期都會重置該品類的成熟能力，這意味著產業的安全基礎設施相對於它所保護的規模，永遠處於建設不足的狀態。

一個保衛著1300 億美元用戶存款的行業，在風險/ 安全上的投入卻像是在買選配插件。

攻擊者在熊市不會減速，但風險和安全預算會。

在這領域深耕五年後，我知道由信念資助的品類與由真實需求驅動的品類之間的差異。

你不需要監管者告訴你這些

如果你的應用程式接受用戶存款，恭喜你！你進入了風險業務。無論協議是想把自己框架化為基礎設施、收益平台還是去中心化的東西，當你託管價值或提供槓桿的那一刻起，風險管理就不再是可選的。

這不僅僅是某個單一參與者的問題。

這是一個供應鏈，其中每個參與者都有理性的理由將風險視為他人的責任。

投資者評估成長。審計師縮小審計範圍。交易所優化上幣。託管人不對控制權做硬性要求。沒有人是不理性的。這才是問題所在。

系統完全按照激勵機制預測的那樣運作，直到某次漏洞提醒所有人：風險一直是由大家共同承擔的。

如果金融的未來在鏈上，那麼通往那裡的路徑就是建立那些配得上託管全球資本的系統。

而不是那些要求用戶為了更好的（？？）經濟效益而容忍更多風險的系統。

激勵與結果

市場要麼建立起這一層，要麼就繼續為它的缺失買單。

當一家機構審視DeFi 並認定其風險模型不夠成熟、不足以證明風險敞口的合理性時，這並不是一種假設性的代價。這是一種可衡量的成本，產業在每個週期中與漏洞利用和可預防的損失一起支付這筆代價。

在這一領域深耕五年後，我明白了一件事：你不能指望協議在市場的所有其他激勵都在把他們往相反方向拉的時候，依然獨立且一致地選擇投資風險和安全基礎設施。

自願模式已經觸及了天花板。任何事故後的定罪（Conviction）都無法永久提高這個上限。在獎勵不負責任的系統中要求個人創辦人和團隊變得更負責任，這並不是一種策略。

但我認為，某種不同的條件正在開始出現。鏈上金融與傳統金融的融合速度超過了多數人的想像。隨著兩者界線模糊，無論加密貨幣是否願意，監管引力都在增加。進入這個空間的機構帶來了他們的合規預期、採購流程和風險框架。

加密貨幣從未為自己建立的標準​​層，最終可能會由那些沒有標準就無法運作的人匯入。

同時，一些更根本的東西正在改變。在大部分金融史上，頂尖的風險情報一直被鎖定在機構預算之後。 AI 正在改變誰能獲得它。現在，直接向用戶和投資者提供機構級的風險工具正變得可能，無論他們使用的應用程式是否投資了風險和安全。

但技術本身解決不了市場結構問題。

產業仍需決定自己到底真正價值什麼。

每個週期我們都告訴自己，上一次漏洞是敲響了警鐘，以後會有所不同。

加密世界在發明新金融原語方面表現出色。但讓它們足夠安全，配得上人們投入其中的信任，這是一個工程問題——而且我認為，技術第一次已經到位了。但工程只有在業界決定「保護」是必要條件，而不是錦上添花時，才有意義。

給我看激勵，我就給你看結果。