#Gate广场五月交易分享

DeFi 损失在四月达到 $600M ——加密安全史上最糟糕的月份

2026 年 4 月现已确认为去中心化金融历史上最具破坏性的一月。DeFiLlama 记录到 28–30 起分别发生的漏洞利用事件，损失超过 6.35 亿美元；而 CertiK 的最终月度报告则将总损失定在约 6.51 亿美元——这是自 2022 年 3 月以来的最糟数字。当时行业损失约 7.15 亿美元。这一个月的损失直接抵消了 2026 年第一季度约 1.64 亿美元总额的 3.7 倍，并且较 3 月 5220 万美元的损失激增了惊人的 1,140%。标签 #DeFiLossesTop600MInApril 已被确认，数据验证的现实。

两次“超级黑客”事件造成了 4 月损失的 93%

Drift 协议（4 月 1 日）：被盗约 2.85 亿美元。TRM Labs 将该攻击追溯到朝鲜集团 UNC4736（Citrine Sleet），该组织在 Solana 上对 Drift 团队成员进行了长达六个月的社交工程。攻击者获得了一个特权 AWS 签名密钥，用极少的抵押品铸造了将近 8000 万个 USR 代币，并从存储池中抽走了 USDC、JLP、SOL 以及其他资产。

KelpDAO（4 月 18 日）：被盗约 2.93 亿美元。根本原因是 KelpDAO 的 LayerZero V2 桥上出现了灾难性的 1-of-1 去中心化验证器网络（DVN）配置。攻击者被归因于 Lazarus Group（TraderTraitor），他们访问了两个验证器节点，注入了伪造的跨链消息，随后对合法的 RPC 节点发起 DDoS 攻击，以迫使切换故障转移到攻击者控制的基础设施。他们抽走了 116,500 个 rsETH。LayerZero 确认，多 DVN 配置本可以完全避免这一切。这两次攻击合计占 4 月总计美元损失的 93%，并且都进入了自 2021 年以来最大的 10 起加密黑客事件之列。

Aave 连锁反应：$13B ——48 小时内的 DeFi TVL 压缩

KelpDAO 攻击者将被盗的 2.497 亿美元 rsETH 作为抵押，分别在以太坊与 Arbitrum 上向 Aave V3 和 V4 存入；同时以未被支持的代币进行借贷，借得 83,427 个 WETH 和 wstETH（约 2.282 亿美元的真实资产）。这就造成了约 1.96 亿美元的 Aave 坏账。Aave 在数小时内冻结了 rsETH 市场，但恐慌蔓延：48 小时内，84.5 亿美元存款从 Aave 撤离，推动 DeFi TVL 总额从 994.97 亿美元下降到 862.86 亿美元；两天内压缩了 13%。AAVE 代币下跌了 16%。仅在 4 月 24 日，以太坊就出现了 16 亿美元的 DeFi 外流。

朝鲜：2026 年所有加密黑客损失的 76%

TRM Labs 报告称，在 2026 年，受朝鲜国家支持的黑客占所有加密黑客与诈骗损失的 76%；仅在 18 天内，从 Drift 和 KelpDAO 这两起事件中就被盗了 5.75 亿美元。他们自 2017 年以来被归因的总盗窃金额超过 60 亿美元。BeyondTrust 的副首席信息安全官表示：“朝鲜在 18 天内偷走了 5.75 亿美元，因为基础设施存在单点信任，没有溯源验证，并且其治理结构无法以攻击发生的速度做出响应。”

攻击方法学转变与修复困难

4 月的漏洞利用事件表明威胁从智能合约漏洞转向多层威胁：将社交工程、桥接伪造以及基础设施被攻破结合在一起。还有四起较小的漏洞利用也同样瞄准了桥接组件。被宣传为去中心化的跨链桥仍然是单点故障。修复面临新的障碍：链上调查员 ZachXBT 揭露，律师事务所 Gerstein Harrow LLP 提交了关于 7,100 万美元被冻结的 KelpDAO ETH 的虚假索赔，试图优先考虑 2015 年的一项判决，而不是这些 2026 年真实的黑客受害者。尽管 Arbitrum 已冻结 7,100 万美元，仍怀疑 Lazarus Group 正在转移这批 $175M 的 ETH。

2026 年 4 月证明了三件事：单一 DVN 桥的配置是灾难性的攻击面；将流动性重质押代币作为抵押会制造系统性风险，从而能在 48 小时内压缩 $13B 的 TVL；以及国家级攻击者如今会将数月的社交工程与基础设施规模的技术性漏洞利用结合起来运作。多 DVN 配置、溯源验证以及由 AI 驱动的持续审计是最低的生存要求。损失已被核实。结构性漏洞已被记录。除非 DeFi 从根本上重新设计其安全体系，否则……