#Gate广场五月交易分享

去中心化金融（DeFi）在四月的損失達到$600M — 加密安全史上最糟糕的月份

2026年4月已被確認為去中心化金融史上最具破壞性的一個月。DeFiLlama 記錄了28至30起獨立的漏洞事件，損失超過6.35億美元，而 CertiK 的最終月度報告則將總損失定在約6.51億美元，這是自2022年3月以來的最差數字，當時行業損失約7.15億美元。這一單月的損失是2026年第一季度約1.64億美元總額的3.7倍，並且比3月的5,220萬美元損失激增了驚人的1,140%。#E0@已被確認，數據驗證的現實。

兩大黑客事件驅動了四月93%的損失

Drift Protocol（4月1日）：約2.85億美元被盜。TRM Labs追蹤攻擊源自朝鮮團體UNC4736（Citrine Sleet），該團體花了六個月時間在Solana上進行社交工程，操控Drift團隊成員。攻擊者獲取了特權AWS簽名密鑰，鑄造了近8000萬USR代幣，幾乎沒有抵押品，並從存儲池中提取USDC、JLP、SOL及其他資產。

KelpDAO（4月18日）：約2.93億美元被盜。根本原因是KelpDAO的LayerZero V2橋上的1對1去中心化驗證器網絡（DVN）配置災難性失誤。攻擊者被歸因於Lazarus Group（TraderTraitor），他們訪問了兩個驗證器節點，注入了假跨鏈消息，然後對合法的RPC節點發起DDoS攻擊，迫使故障轉移到攻擊者控制的基礎設施。他們提取了116,500個rsETH。LayerZero證實，多DVN配置本可以完全防止此類事件。這兩次攻擊合計佔四月總損失的93%，並且都進入了自2021年以來最大的十次加密黑客事件。

Aave連鎖反應：#DeFiLossesTop600MInApril DeFi TVL在48小時內壓縮

KelpDAO的攻擊者將價值2.497億美元的被盜rsETH作為抵押品存入Aave V3和V4的以太坊和Arbitrum，借出83,427 WETH和wstETH（約2.282億美元的實際資產），對未抵押的代幣進行借貸。這造成約1.96億美元的Aave壞帳。Aave在數小時內凍結了rsETH市場，但恐慌蔓延：48小時內有84.5億美元的存款撤出Aave，導致總DeFi TVL從994.97億美元下降到862.86億美元，兩天內壓縮了13%。AAVE代幣下跌了16%。僅在4月24日，Ethereum就有16億美元的DeFi資金流出。

北韓：2026年所有加密黑客損失的76%

TRM Labs報告稱，北韓國家支持的黑客在2026年佔所有加密黑客和詐騙損失的76%，在短短18天內從Drift和KelpDAO盜取了5.75億美元。他們自2017年以來的總盜竊金額超過60億美元。BeyondTrust的副首席信息安全官表示：“北韓在18天內偷走了5.75億美元，因為基礎設施存在單點信任、缺乏溯源驗證和無法以攻擊速度響應的治理結構。”

攻擊方法轉變與恢復困難

四月的漏洞顯示出從智能合約漏洞向多層次威脅的轉變，結合了社交工程、橋接欺騙和基礎設施破壞。另外四起較小的漏洞也針對橋接組件。被市場宣傳為去中心化的跨鏈橋仍是單點故障。恢復面臨新障礙：On-chain調查員ZachXBT曝光律師事務所Gerstein Harrow LLP提交了超過7100萬美元的虛假索賠，試圖將2015年的判決置於2026年黑客事件的受害者之上。Lazarus Group被懷疑在Arbitrum凍結了7100萬美元的同時，仍在用ETH轉移資金。

2026年4月證明了三件事：單一DVN橋接配置是災難性的攻擊面，將流動性重質押代幣作為抵押品會產生系統性風險，能在48小時內壓縮$13B 的TVL，以及國家級攻擊者現在結合數月的社交工程和基礎設施級技術攻擊行動。多DVN配置、溯源驗證和AI驅動的持續審計是最低生存要求。損失已被驗證。結構性漏洞已被記錄。除非DeFi從根本上重新設計其安全架構，否則……