广场
最新
热门
资讯
我的主页
发布
Falcon_Official
2026-05-03 07:43:19
关注
#Gate广场五月交易分享
DeFi 损失在四月达到 $600M —— 加密安全史上最糟糕的月份
2026年4月现已确认为去中心化金融历史上最具破坏性的一月。DeFiLlama 记录了 28–30 起分别的漏洞被利用事件,损失超过 6.35 亿美元;而 CertiK 的最终月度报告将该数字定为约 6.51 亿美元——这是自 2022 年 3 月以来的最差水平。彼时行业损失约 7.15 亿美元。这个单月的损失相当于 2026 年第一季度约 1.64 亿美元总额的 3.7 倍,并且相较于 3 月损失 5,220 万美元,出现了惊人的 1,140% 飙升。话题标签
#DeFiLossesTop600MInApril
已被证实,这是一种经过数据验证的现实。
两次“巨型攻击”导致了四月 93% 的损失
Drift 协议(4月1日):被盗约 2.85 亿美元。TRM Labs 将此次攻击追溯到朝鲜组织 UNC4736(Citrine Sleet)。该组织在索拉纳(Solana)上对 Drift 团队成员进行了持续六个月的社交工程。攻击者获得了一个具有更高权限的 AWS 签名密钥,用几乎不需要抵押的条件铸造了近 8,000 万个 USR 代币,然后从存储池中掏空了 USDC、JLP、SOL 以及其他资产。
KelpDAO(4月18日):被盗约 2.93 亿美元。根本原因是 KelpDAO 的 LayerZero V2 桥上存在灾难性的 1-of-1 去中心化验证器网络(DVN)配置。攻击者被归因于 Lazarus Group(TraderTraitor)。他们访问了两个验证器节点,注入了伪造的跨链消息;随后对合法的 RPC 节点发起了 DDoS 攻击,迫使系统进行故障切换到由攻击者控制的基础设施。他们清算/提取了 116,500 个 rsETH。LayerZero 确认,如果采用多 DVN 配置,本可彻底避免这一切。上述两次攻击合计占四月总计美元损失的 93%,并且二者均进入了自 2021 年以来最大的 10 起加密黑客事件之列。
Aave 连锁反应:$13B ——48 小时内 DeFi TVL 被压缩
KelpDAO 攻击者将被盗的 2.497 亿美元 rsETH 作为抵押,存入 Aave V3 和 V4,覆盖以太坊与 Arbitrum,并借出了 83,427 个 WETH 和 wstETH(约 2.282 亿美元的真实资产),但抵押品对应的却是未被支持/无足额支撑的代币。这导致 Aave 产生约 1.96 亿美元的不良债务。Aave 在数小时内冻结了 rsETH 市场,但恐慌引发了连锁:在 48 小时内,4.45e?(应为)8.45?——正确数值为 84.5 亿美元的存款从 Aave 撤出;从 99.4970?——正确数值为 99.4970?——总 DeFi TVL 从 994.97 亿美元($99.497 billion)下降到 862.86 亿美元($86.286 billion),两天内压缩了 13%。AAVE 代币下跌 16%。仅在 4 月 24 日,以太坊就出现了 16 亿美元规模的 DeFi 资金外流。
朝鲜:2026 年所有加密黑客损失的 76%
TRM Labs 报告称,由朝鲜国家支持的黑客在 2026 年占据所有加密黑客与诈骗损失的 76%,仅在 18 天内就从 Drift 和 KelpDAO 被盗走了 5.75 亿美元。他们自 2017 年以来被归因的总盗窃金额超过 60 亿美元。BeyondTrust 的副 CISO 表示:“朝鲜在 18 天内盗走了 5.75 亿美元,因为基础设施存在单点信任、缺乏来源验证,以及无法以攻击速度作出响应的治理结构。”
攻击方法论的转向与修复难题
4 月的被利用事件揭示了从智能合约漏洞转向多层威胁的变化:将社交工程、桥接伪造与基础设施被攻破结合在一起。另外还有四起较小的漏洞也瞄准了桥接组件。那些被宣传为去中心化的跨链桥仍然是单点故障。修复面临新的障碍:链上调查员 ZachXBT 揭露律师事务所 Gerstein Harrow LLP 提交了价值超过 7,100 万美元的虚假索赔,针对被冻结的 KelpDAO ETH,试图优先争取一项 2015 年的判决,而不是实际的 2026 年黑客受害者。据推测 Lazarus Group 即便在 Arbitrum 冻结了 7100 万美元的同时,仍在转移 $175M 对应的以太坊。
2026 年 4 月已证实三件事:1-of-1 的 DVN 桥接配置是灾难性的攻击面;以流动性再抵押代币作为抵押会造成系统性风险,从而可能在 48 小时内压缩 $13B 的 TVL;而国家级攻击者如今会在数月的社交工程基础上,叠加基础设施规模的技术性漏洞利用行动。多 DVN 配置、来源验证以及由 AI 驱动的持续审计是最低生存要求。损失已经被验证。结构性漏洞已被记录。除非 DeFi 从根本上重新设计其安全架构,否则下个月可能会更糟。
#DeFiLossesTop600MInApril
#DeFi
#CryptoSecurity
DRIFT
0.71%
SOL
-0.07%
查看原文
此页面可能包含第三方内容,仅供参考(非陈述/保证),不应被视为 Gate 认可其观点表述,也不得被视为财务或专业建议。详见
声明
。
5人点赞了这条动态
赞赏
5
5
转发
分享
评论
请输入评论内容
请输入评论内容
评论
GateUser-68291371
· 14 分钟前
布尔兰 🐂
查看原文
回复
0
GateUser-68291371
· 14 分钟前
跳上去 🚀
查看原文
回复
0
HighAmbition
· 3小时前
好 👍👍👍👍👍👍 好
查看原文
回复
0
AylaShinex
· 3小时前
2026 GOGOGO 👊
回复
0
Fenerli Baba
· 3小时前
2026 GOGOGO 👊
回复
0
热门话题
查看更多
#
WCTC交易王PK
53.85万 热度
#
美国寻求战略比特币储备
5876.09万 热度
#
比特币ETF期权持仓限额增4倍
102.74万 热度
#
美联储利率不变但内部分歧加剧
4.28万 热度
#
DeFi4月安全事件损失超6亿美元
1019.49万 热度
置顶
网站地图
#Gate广场五月交易分享
DeFi 损失在四月达到 $600M —— 加密安全史上最糟糕的月份
2026年4月现已确认为去中心化金融历史上最具破坏性的一月。DeFiLlama 记录了 28–30 起分别的漏洞被利用事件,损失超过 6.35 亿美元;而 CertiK 的最终月度报告将该数字定为约 6.51 亿美元——这是自 2022 年 3 月以来的最差水平。彼时行业损失约 7.15 亿美元。这个单月的损失相当于 2026 年第一季度约 1.64 亿美元总额的 3.7 倍,并且相较于 3 月损失 5,220 万美元,出现了惊人的 1,140% 飙升。话题标签 #DeFiLossesTop600MInApril 已被证实,这是一种经过数据验证的现实。
两次“巨型攻击”导致了四月 93% 的损失
Drift 协议(4月1日):被盗约 2.85 亿美元。TRM Labs 将此次攻击追溯到朝鲜组织 UNC4736(Citrine Sleet)。该组织在索拉纳(Solana)上对 Drift 团队成员进行了持续六个月的社交工程。攻击者获得了一个具有更高权限的 AWS 签名密钥,用几乎不需要抵押的条件铸造了近 8,000 万个 USR 代币,然后从存储池中掏空了 USDC、JLP、SOL 以及其他资产。
KelpDAO(4月18日):被盗约 2.93 亿美元。根本原因是 KelpDAO 的 LayerZero V2 桥上存在灾难性的 1-of-1 去中心化验证器网络(DVN)配置。攻击者被归因于 Lazarus Group(TraderTraitor)。他们访问了两个验证器节点,注入了伪造的跨链消息;随后对合法的 RPC 节点发起了 DDoS 攻击,迫使系统进行故障切换到由攻击者控制的基础设施。他们清算/提取了 116,500 个 rsETH。LayerZero 确认,如果采用多 DVN 配置,本可彻底避免这一切。上述两次攻击合计占四月总计美元损失的 93%,并且二者均进入了自 2021 年以来最大的 10 起加密黑客事件之列。
Aave 连锁反应:$13B ——48 小时内 DeFi TVL 被压缩
KelpDAO 攻击者将被盗的 2.497 亿美元 rsETH 作为抵押,存入 Aave V3 和 V4,覆盖以太坊与 Arbitrum,并借出了 83,427 个 WETH 和 wstETH(约 2.282 亿美元的真实资产),但抵押品对应的却是未被支持/无足额支撑的代币。这导致 Aave 产生约 1.96 亿美元的不良债务。Aave 在数小时内冻结了 rsETH 市场,但恐慌引发了连锁:在 48 小时内,4.45e?(应为)8.45?——正确数值为 84.5 亿美元的存款从 Aave 撤出;从 99.4970?——正确数值为 99.4970?——总 DeFi TVL 从 994.97 亿美元($99.497 billion)下降到 862.86 亿美元($86.286 billion),两天内压缩了 13%。AAVE 代币下跌 16%。仅在 4 月 24 日,以太坊就出现了 16 亿美元规模的 DeFi 资金外流。
朝鲜:2026 年所有加密黑客损失的 76%
TRM Labs 报告称,由朝鲜国家支持的黑客在 2026 年占据所有加密黑客与诈骗损失的 76%,仅在 18 天内就从 Drift 和 KelpDAO 被盗走了 5.75 亿美元。他们自 2017 年以来被归因的总盗窃金额超过 60 亿美元。BeyondTrust 的副 CISO 表示:“朝鲜在 18 天内盗走了 5.75 亿美元,因为基础设施存在单点信任、缺乏来源验证,以及无法以攻击速度作出响应的治理结构。”
攻击方法论的转向与修复难题
4 月的被利用事件揭示了从智能合约漏洞转向多层威胁的变化:将社交工程、桥接伪造与基础设施被攻破结合在一起。另外还有四起较小的漏洞也瞄准了桥接组件。那些被宣传为去中心化的跨链桥仍然是单点故障。修复面临新的障碍:链上调查员 ZachXBT 揭露律师事务所 Gerstein Harrow LLP 提交了价值超过 7,100 万美元的虚假索赔,针对被冻结的 KelpDAO ETH,试图优先争取一项 2015 年的判决,而不是实际的 2026 年黑客受害者。据推测 Lazarus Group 即便在 Arbitrum 冻结了 7100 万美元的同时,仍在转移 $175M 对应的以太坊。
2026 年 4 月已证实三件事:1-of-1 的 DVN 桥接配置是灾难性的攻击面;以流动性再抵押代币作为抵押会造成系统性风险,从而可能在 48 小时内压缩 $13B 的 TVL;而国家级攻击者如今会在数月的社交工程基础上,叠加基础设施规模的技术性漏洞利用行动。多 DVN 配置、来源验证以及由 AI 驱动的持续审计是最低生存要求。损失已经被验证。结构性漏洞已被记录。除非 DeFi 从根本上重新设计其安全架构,否则下个月可能会更糟。
#DeFiLossesTop600MInApril #DeFi #CryptoSecurity