在2026年4月的前18天,去中心化金融(DeFi)協議因漏洞遭受的損失超過6.06億美元,成為自2025年2月以來DeFi駭客事件的最糟糕月份。根據DefiLlama的數據,合計涉及12起不同的漏洞事件,遠超2026年第一季度整體損失的1.655億美元,較第一季合計增長近四倍。
損失激增由兩個重大事件推動:KelpDAO跨鏈橋的2.9億美元妥協,以及Drift Protocol的2.85億美元漏洞。這兩起攻擊合計佔4月總損失的95%,以及今年迄今為止所有事件的7.718億美元中的75%。
KelpDAO的橋接漏洞利用單一驗證器配置,致116,500個 rsETH 代幣被盜,盜取的代幣被用作抵押在多個借貸平台借款。隨之而來的閃電式清算與強制借貸凍結觸發資金快速外流,加劇走勢。
Drift Protocol的漏洞被歸因於高級治理操作,濫用預簽的管理交易以奪取治理控制權,並波及交易、借貸與金庫存款中的用戶資金。透過Circle的跨鏈轉移協議,在100筆交易中有超過2.32億美元的USDC被橋接到以太坊。
這些後果暴露了DeFi安全基礎設施的脆弱性,特別是在跨鏈橋樑與去中心化治理機制方面。分析師警告,若不採用多驗證器配置與健全的治理檢查,協議將暴露於基礎設施層面與社會工程攻擊之風險。
在KelpDAO事件之後,DeFi的總鎖定價值(TVL)在24小時內下跌超過7%,Aave的TVL亦由264億美元降至179億美元。快速下跌凸顯出跨借貸協議間相互連結的抵押品所帶來的系統性風險。
駭客事件的頻率急速攀升,至2026年4月中旬已紀錄47起事件,而2025年同期為28起,同比增長約68%。觀察人士指出,駭客頻率的上升,即使損失總額仍低於2025年2月Bybit事件的膨脹水平,亦顯示出持續的威脅環境。
作出回應,DeFi協議已啟動緊急凍結並暫停關鍵市場以抑制蔓延。安全標準與風險定價模型正受到審視,專案方尋求恢復用戶信心。分析師建議優先採用多層驗證與持續的鏈下基礎設施監控。
此次四月的激增重新點燃對統一安全框架與產業在威脅情報分享方面的合作呼聲。隨著協議重建與審計基礎設施,DeFi的增長將取決於在創新與嚴格的安全實踐以及標準化認證要求之間取得平衡的能力。
評論 (0)