广场
最新
热门
资讯
我的主页
发布
ellesmil
2026-05-03 08:05:33
关注
#Gate广场五月交易分享
DeFi 损失在 4 月登顶 $600M ——加密安全史上最糟糕的月份
2026 年 4 月现已得到确认:这是去中心化金融历史上最具破坏性的一月。DeFiLlama 记录到 28–30 起独立的漏洞利用事件,损失超过 6.35 亿美元;而 CertiK 的最终月度报告将总损失定在约 6.51 亿美元——这是自 2022 年 3 月以来的最糟数字。当时整个行业大约损失了 7.15 亿美元。仅这一单月就相当于清空了 2026 年第一季度总计约 1.64 亿美元的 3.7 倍,并且较 3 月 5,220 万美元的损失,出现了惊人的 1,140% 增幅。标签
#DeFiLossesTop600MInApril
已被确认:数据验证的客观事实。
两次“巨型攻击”造成了 4 月损失的 93%
Drift 协议(4 月 1 日):约 2.85 亿美元被盗。TRM Labs 将此次攻击追溯到朝鲜团体 UNC4736(Citrine Sleet)。该团体在 Solana 上对 Drift 团队成员进行了长达六个月的社交工程操控。攻击者获得了一个特权 AWS 签名密钥,几乎不需要抵押就铸造了近 8,000 万枚 USR 代币,并从存储池中抽干了 USDC、JLP、SOL 以及其他资产。
KelpDAO(4 月 18 日):约 2.93 亿美元被盗。根本原因是 KelpDAO 的 LayerZero V2 桥发生了灾难性的 1-of-1 Decentralized Verifier Network(DVN)配置故障。攻击者被归咎于 Lazarus Group(TraderTraitor),他们接入了两个验证器节点,注入了伪造的跨链消息,随后对合法的 RPC 节点发起 DDoS 攻击,迫使系统进行故障转移到攻击者可控的基础设施。攻击者共清算了 116,500 rsETH。LayerZero 确认:如果采用多 DVN 配置,本来可以完全避免这一切。这两起攻击合计占 4 月总美元损失的 93%,并且都进入了自 2021 年以来最大规模的 10 起加密黑客事件之列。
Aave 连锁崩塌:$13B DeFi TVL 在 48 小时内压缩
KelpDAO 攻击者将被盗的 2.497 亿美元 rsETH 作为抵押,分别在 Ethereum 与 Arbitrum 上将其存入 Aave V3 与 V4,并借出了 83,427 WETH 与 wstETH(~2.282 亿美元的真实资产)——这些借贷以未支持(unbacked)的代币为支撑。这造成了约 1.96 亿美元的 Aave 坏账。Aave 在数小时内就冻结了 rsETH 市场,但恐慌却引发了连锁反应:48 小时内,84.5 亿美元的存款从 Aave 撤离,使总 DeFi TVL 从 994.97 亿美元降至 862.86 亿美元——两天内压缩了 13%。AAVE 代币下跌了 16%。仅在 4 月 24 日,Ethereum 的 DeFi 资金外流就达到 16 亿美元。
朝鲜:2026 年所有加密黑客损失的 76%
TRM Labs 报告称:朝鲜国家支持的黑客占 2026 年所有加密黑客与诈骗损失的 76%。仅在短短 18 天内,他们就从 Drift 和 KelpDAO 中盗走了 5.75 亿美元。自 2017 年以来,被归因的总盗窃金额超过 60 亿美元。BeyondTrust 的副首席信息安全官(Deputy CISO)表示:“朝鲜在 18 天内盗走 5.75 亿美元,是因为基础设施存在单点信任(single points of trust)、没有溯源验证(no provenance validation),以及治理结构无法以攻击发生的速度作出响应。”
攻击方法学转向与恢复困难
4 月的漏洞利用显示了从智能合约漏洞转向多层威胁的转变:威胁融合社交工程、桥接(bridge)伪造以及基础设施遭到攻陷。另有四起较小的漏洞也同样打击了桥接组件。那些被宣传为去中心化的跨链桥,依然是单点故障。恢复面临新的障碍:链上调查员 ZachXBT 揭露,律所 Gerstein Harrow LLP 提交了虚假的索赔,涉及冻结的 KelpDAO ETH 金额超过 7,100 万美元,试图将注意力转向 2015 年的判决,而非真正 2026 年遭黑客攻击的受害者。尽管 Arbitrum 已冻结 7,100 万美元,仍有迹象表明 Lazarus Group 在用 ETH 转移资金 $175M 。
2026 年 4 月证明了三件事:单一 DVN 的桥接配置是灾难性的攻击面;将流动再抵押代币作为抵押品,会在 48 小时内带来系统性风险,从而压缩 $13B 的 TVL;而国家级攻击者如今会将数月的社交工程与基础设施规模的技术型漏洞结合起来执行攻击。多 DVN 配置、溯源验证(provenance validation)以及由 AI 驱动的持续审计,是最低限度的生存要求。损失已被验证。结构性漏洞已被记录。除非 DeFi 从根本上重新设计其安全体系
DRIFT
-1.29%
SOL
0.13%
USDC
0.01%
查看原文
此页面可能包含第三方内容,仅供参考(非陈述/保证),不应被视为 Gate 认可其观点表述,也不得被视为财务或专业建议。详见
声明
。
赞赏
点赞
评论
转发
分享
评论
请输入评论内容
请输入评论内容
评论
暂无评论
热门话题
查看更多
#
WCTC交易王PK
54.93万 热度
#
美国寻求战略比特币储备
5876.93万 热度
#
比特币ETF期权持仓限额增4倍
103.25万 热度
#
美联储利率不变但内部分歧加剧
4.37万 热度
#
DeFi4月安全事件损失超6亿美元
1019.67万 热度
置顶
网站地图
#Gate广场五月交易分享
DeFi 损失在 4 月登顶 $600M ——加密安全史上最糟糕的月份
2026 年 4 月现已得到确认:这是去中心化金融历史上最具破坏性的一月。DeFiLlama 记录到 28–30 起独立的漏洞利用事件,损失超过 6.35 亿美元;而 CertiK 的最终月度报告将总损失定在约 6.51 亿美元——这是自 2022 年 3 月以来的最糟数字。当时整个行业大约损失了 7.15 亿美元。仅这一单月就相当于清空了 2026 年第一季度总计约 1.64 亿美元的 3.7 倍,并且较 3 月 5,220 万美元的损失,出现了惊人的 1,140% 增幅。标签 #DeFiLossesTop600MInApril 已被确认:数据验证的客观事实。
两次“巨型攻击”造成了 4 月损失的 93%
Drift 协议(4 月 1 日):约 2.85 亿美元被盗。TRM Labs 将此次攻击追溯到朝鲜团体 UNC4736(Citrine Sleet)。该团体在 Solana 上对 Drift 团队成员进行了长达六个月的社交工程操控。攻击者获得了一个特权 AWS 签名密钥,几乎不需要抵押就铸造了近 8,000 万枚 USR 代币,并从存储池中抽干了 USDC、JLP、SOL 以及其他资产。
KelpDAO(4 月 18 日):约 2.93 亿美元被盗。根本原因是 KelpDAO 的 LayerZero V2 桥发生了灾难性的 1-of-1 Decentralized Verifier Network(DVN)配置故障。攻击者被归咎于 Lazarus Group(TraderTraitor),他们接入了两个验证器节点,注入了伪造的跨链消息,随后对合法的 RPC 节点发起 DDoS 攻击,迫使系统进行故障转移到攻击者可控的基础设施。攻击者共清算了 116,500 rsETH。LayerZero 确认:如果采用多 DVN 配置,本来可以完全避免这一切。这两起攻击合计占 4 月总美元损失的 93%,并且都进入了自 2021 年以来最大规模的 10 起加密黑客事件之列。
Aave 连锁崩塌:$13B DeFi TVL 在 48 小时内压缩
KelpDAO 攻击者将被盗的 2.497 亿美元 rsETH 作为抵押,分别在 Ethereum 与 Arbitrum 上将其存入 Aave V3 与 V4,并借出了 83,427 WETH 与 wstETH(~2.282 亿美元的真实资产)——这些借贷以未支持(unbacked)的代币为支撑。这造成了约 1.96 亿美元的 Aave 坏账。Aave 在数小时内就冻结了 rsETH 市场,但恐慌却引发了连锁反应:48 小时内,84.5 亿美元的存款从 Aave 撤离,使总 DeFi TVL 从 994.97 亿美元降至 862.86 亿美元——两天内压缩了 13%。AAVE 代币下跌了 16%。仅在 4 月 24 日,Ethereum 的 DeFi 资金外流就达到 16 亿美元。
朝鲜:2026 年所有加密黑客损失的 76%
TRM Labs 报告称:朝鲜国家支持的黑客占 2026 年所有加密黑客与诈骗损失的 76%。仅在短短 18 天内,他们就从 Drift 和 KelpDAO 中盗走了 5.75 亿美元。自 2017 年以来,被归因的总盗窃金额超过 60 亿美元。BeyondTrust 的副首席信息安全官(Deputy CISO)表示:“朝鲜在 18 天内盗走 5.75 亿美元,是因为基础设施存在单点信任(single points of trust)、没有溯源验证(no provenance validation),以及治理结构无法以攻击发生的速度作出响应。”
攻击方法学转向与恢复困难
4 月的漏洞利用显示了从智能合约漏洞转向多层威胁的转变:威胁融合社交工程、桥接(bridge)伪造以及基础设施遭到攻陷。另有四起较小的漏洞也同样打击了桥接组件。那些被宣传为去中心化的跨链桥,依然是单点故障。恢复面临新的障碍:链上调查员 ZachXBT 揭露,律所 Gerstein Harrow LLP 提交了虚假的索赔,涉及冻结的 KelpDAO ETH 金额超过 7,100 万美元,试图将注意力转向 2015 年的判决,而非真正 2026 年遭黑客攻击的受害者。尽管 Arbitrum 已冻结 7,100 万美元,仍有迹象表明 Lazarus Group 在用 ETH 转移资金 $175M 。
2026 年 4 月证明了三件事:单一 DVN 的桥接配置是灾难性的攻击面;将流动再抵押代币作为抵押品,会在 48 小时内带来系统性风险,从而压缩 $13B 的 TVL;而国家级攻击者如今会将数月的社交工程与基础设施规模的技术型漏洞结合起来执行攻击。多 DVN 配置、溯源验证(provenance validation)以及由 AI 驱动的持续审计,是最低限度的生存要求。损失已被验证。结构性漏洞已被记录。除非 DeFi 从根本上重新设计其安全体系