2026 年 4 月僅 20 天內,加密協議因駭客攻擊損失超過 6.06 億美元,成為自 2025 年 2 月交易所 14 億美元資料外洩事件以來最嚴峻的單月損失紀錄。KelpDAO 和 Drift Protocol 兩起攻擊合計佔 4 月損失的 95%,以及 2026 年截至目前 7.718 億美元總損失的 75%。
月度數據:4 月損失遠超前三個月總和
(來源:DefiLlama)
根據 DefiLlama 追蹤數據,2026 年各月駭客攻擊損失對比:
1 月:12 起事故,損失 1.001 億美元
2 月:8 起事故,損失 2,420 萬美元
3 月:15 起事故,損失 4,130 萬美元
4 月(截至 4 月 18 日):12 起事故,損失 6.062 億美元
自 2025 年 2 月以來,每個月的損失規模均低於 2.4 億美元。4 月的損失模式明確指向攻擊者已系統性地將目標轉向 DeFi 基礎設施——不同於 2025 年大型 CEX 單一攻擊,此次兩起主要攻擊均針對 DeFi 的跨鏈橋和借貸協議。
攻擊模式轉向:從 CEX 到 DeFi 基礎設施全面滲透
KelpDAO 的 LayerZero 跨鏈橋遭攻擊,損失超過 2.9 億美元,成為 2026 年迄今最大單次 DeFi 事件;Drift Protocol 損失 2.85 億美元,緊隨其後。4 月近期還相繼發生了 Vercel、Hyperbridge、Grinex Exchange 和 Rhea Finance 等一系列事故,顯示攻擊面正在系統性地擴展至 DeFi 生態的多個基礎設施層。
從頻率看,2026 年前 4.5 個月加密領域共發生 47 起駭客攻擊,而 2025 年同期為 28 起,年增幅約 68%。
DeFi TVL 承壓,市場信心惡化
Kelp 漏洞事件發生後,DeFi 總鎖定價值(TVL)在 24 小時內下跌超過 7%,Aave 的 TVL 從 264 億美元跌至近 179 億美元。一位分析師提出警示:「在風險能夠被合理定價之前,DeFi 仍然是一個小眾市場;而目前,我們距離這個目標還很遠。」
常見問題
2026 年 4 月的加密駭客損失為何如此異常?
4 月損失嚴重的主要原因是 KelpDAO(2.9 億美元)和 Drift Protocol(2.85 億美元)兩起攻擊合計約 5.75 億美元,佔 4 月總損失的 95%。這兩起攻擊均針對 DeFi 的核心基礎設施——跨鏈橋和借貸協議,利用了智能合約與跨鏈消息驗證的漏洞,屬於高技術難度的定向攻擊。
KelpDAO 和 Drift Protocol 的攻擊具體如何發生?
KelpDAO 的 LayerZero 跨鏈橋遭攻擊,攻擊者偽造跨鏈消息提取了 rsETH 代幣。Drift Protocol 同樣遭遇安全漏洞,兩起事件均已引發多個 DeFi 協議的緊急安全響應措施,包括凍結相關資產、暫停 LayerZero 橋接功能等。
DeFi 攻擊頻率年增 68% 對整個加密市場有何影響?
攻擊頻率的系統性上升被分析師視為 DeFi 風險定價尚未跟上底層基礎設施漏洞暴露速度的重要信號。持續累積的安全事件不僅直接侵蝕 TVL,更對 DeFi 的機構採用構成了持續性的信心障礙,可能對整個 DeFi 生態的長期發展軌跡產生深遠影響。
免責聲明:本頁面資訊可能來自第三方,不代表 Gate 的觀點或意見。頁面顯示的內容僅供參考,不構成任何財務、投資或法律建議。Gate 對資訊的準確性、完整性不作保證,對因使用本資訊而產生的任何損失不承擔責任。虛擬資產投資屬高風險行為,價格波動劇烈,您可能損失全部投資本金。請充分了解相關風險,並根據自身財務狀況和風險承受能力謹慎決策。具體內容詳見
聲明。
相關文章
北韓 Lazarus Group 發布新款 Mach-O Man macOS 惡意程式,鎖定加密領域
摘要:Lazarus Group 發布了一套名為 Mach-O Man 的原生 macOS 惡意程式工具包,旨在針對加密平台與高價值主管;SlowMist 提醒使用者在遭受攻擊時要保持謹慎。
摘要:本文報告指出,Lazarus Group 已推出 Mach-O Man,一套面向加密貨幣平台與高價值主管的原生 macOS 惡意程式工具包。SlowMist 提醒使用者提高警惕,以降低潛在攻擊風險。
GateNews23分鐘前
霍爾木茲海峽出現比特幣通行費詐騙,艘船支付後仍遭砲擊
據 CoinDesk 於 4 月 22 日報道,希臘海事風險服務公司 Marisks 發出警告,稱詐騙者冒充伊朗當局向多家航運公司發送訊息,索取比特幣或 USDT 作為通過霍爾木茲海峽的「通行費」。Marisks 確認相關訊息並非來自伊朗官方管道,並據路透社報道,表示相信至少有一艘船上當受騙,在週末嘗試通過時仍遭砲擊。
Market Whisper27分鐘前
RHEA Finance 安全事件更新:剩餘約 40 萬美元缺口,承諾全額賠付
RHEA Finance 發布針對 4 月 16 日安全事件的後續更新,確認在資產追回方面已取得實質進展;截至此次更新,估計仍存在約 40 萬美元的資金缺口,主要源於借貸市場資金池中 NEAR、USDT 及 USDC 的組合。RHEA Finance 承諾全額彌補任何剩餘缺口,確保所有受影響用戶獲得完整補償。
Market Whisper43分鐘前
研究員披露 Cosmos 共識層 CometBFT 中關鍵 CVSS 7.1 零日漏洞
安全研究員 Doyeon Park 揭露了 Cosmos 的 CometBFT 中一個 CVSS 7.1 的零日漏洞,可能在同步期間導致節點凍結;廠商的抵制、降級以及披露行動導致 4 月 21 日揭露;驗證者在修補程式出現前應避免重啟。
摘要:安全研究員 Doyeon Park 揭露了 Cosmos 的 CometBFT 共識層中的一個關鍵 CVSS 7.1 零日漏洞,可能導致節點在區塊同步期間凍結,進而可能影響保護 $8 十億元以上資產的網路。該漏洞無法直接竊取資金。Park 從 2 月 22 日起推動協調披露,但遭遇廠商對公開披露的抵制以及 HackerOne 的問題。廠商於 3 月 6 日將相關漏洞 (CVE-2025-24371) 任意降級為「資訊等級」,促使 Park 在 4 月 21 日進行公開披露之前先發布網路層級的概念驗證。該公告建議 Cosmos 的驗證者在發布修補程式前避免重啟節點;已處於共識中的節點可繼續運作,但重啟並重新同步可能使其面臨來自惡意對等方的攻擊,進而有造成死鎖的風險。
GateNews50分鐘前
Venus 攻擊者轉移 2,301 ETH 至混幣服務;使用 Tornado Cash 進行洗錢
鏈上分析追蹤一名使用 Venus 協議的攻擊者,將 2,301 ETH (~$5.32M) 轉移至疑似錢包,隨後透過 Tornado Cash 進行分批操作;鏈上仍保有約 $17.45M。
摘要:本記註整理與 Venus 協議攻擊者相關的鏈上活動,包括將 2,301 ETH (~$5.32M) 轉至錢包,並透過 Tornado Cash 進行分批混幣,且約 $17.45M 仍持有於鏈上。
GateNews50分鐘前
詐騙集團冒充伊朗當局,要求以比特幣與 USDT 作為霍爾木茲海峽通行費;至少一艘船在付款後遭到攻擊
Gate News 消息,4月22日——根據 CoinDesk 報導,冒充伊朗當局的詐騙集團正要求航運公司以比特幣或 USDT 進行加密貨幣付款,以換取安全通行霍爾木茲海峽。希臘航運風險公司 Marisks 已發出警告,指出
GateNews54分鐘前
