為什麼 DeFi 因漏洞攻擊持續損失數百萬美元

📄完整原文· 由 trafilatura 自動擷取Gemini 翻譯8607 字

簡述 - 2026 年前五個月，DeFi 協議損失已超過 10 億美元，光是 4 月就在 Drift、Kelp DAO 與十多起較小事件中流失逾 6 億美元。 - 根據 TRM Labs 資料，截至 2026 年 4 月，與 North Korea 相關的行為者佔全球加密貨幣駭客損失的 76%，高於 2025 年的 64%，以及 2020 年的不到 10%。 - 專家表示，AI 正在降低漏洞發掘的門檻，較舊和未經驗證的智能合約日益成為自動化偵察的目標。這是 DeFi 駭客攻擊有紀錄以來最糟的年份之一，而我們才剛走過一半。 2026 年前五個月，超過 8.4 億美元因 DeFi 駭客而損失——其中光是 4 月就佔了超過 6 億美元被盜，由今年兩起最大攻擊領銜：2.92 億美元的 KelpDAO 漏洞事件,以及 2.85 億美元的 Drift Protocol 入侵事件。損失延續到 5 月,THORChain 在安全研究人員標記出疑似影響超過 1,000 萬美元的跨鏈漏洞後暫停交易。根據 DeFiLlama 資料,TrustedVolumes、Echo Protocol、Step Finance、Truebit、Resolv Labs、Volo Protocol、Rhea Finance、Verus-Ethereum bridge 等眾多項目共同構成這份傷亡名單,讀起來宛如對 DeFi 所有信任假設的一次壓力測試。 Decrypt 訪問的專家普遍認同此一診斷:近期 DeFi 駭客事件暴露出橋接和管理系統中的結構性弱點,而 AI 的進步可能正在幫助攻擊者更快地找到漏洞。 Web3 安全平台 CertiK 的資深區塊鏈調查員 Natalie Newson 告訴 Decrypt,雖然 4 月對加密貨幣漏洞攻擊而言異常嚴重,但更廣泛的趨勢仍相對穩定,且低於 2023 年所見的事件數量高峰。「2026 年 4 月對加密貨幣漏洞攻擊來說是糟糕的一個月;只有三天沒有發生至少被盜取 1 萬美元的漏洞事件。」她說。「然而,當我們從更廣的角度來看,事件數量(不含釣魚)其實相當一致,且仍低於 2023 年的高峰。」Newson 指出,她補充說明 4 月的嚴重程度是由 14 起損失超過 100 萬美元的漏洞事件所驅動,僅次於 2025 年 9 月的 16 起。 North Korea 因素 TRM Labs 全球政策與政府事務主管 Ari Redbord 告訴 Decrypt,這波激增可追溯至單一國家行為者,該行為者在五年內從邊緣角色躍升為決定性威脅。「主要驅動因素是 North Korea,而且這場行動正變得更加精準,而非更廣泛。」Redbord 說,並指出與 North Korea 相關的行為者在 2026 年前四個月佔全球加密貨幣駭客損失的 76%,高於 2025 年的 64%,以及 2020 年的不到 10%。「North Korea 不僅使用技術攻擊這個領域,還運用精密且周密規劃的社交工程手段。」他說。今年迄今最大的 DeFi 駭客事件於 4 月 18 日命中 KelpDAO,攻擊者從一個跨鏈橋中抽走約 116,500 顆 rsETH,價值約 2.92 億美元。 LayerZero——其訊息基礎設施支撐了該橋接——在最新的事後分析報告中表示,攻擊始於 3 月 6 日,當時一名開發人員遭社交工程攻擊,且 session 金鑰被竊取。我們分享 4 月 18 日事件的完整事後分析,由 @Mandiant 和 @CrowdStrike 共同準備。我們在以下連結同時發布執行摘要與完整報告。過去四週,我們與數百位合作夥伴合作,以協助他們…… pic.twitter.com/yVZdqjLTeT — LayerZero (@LayerZero_Core) May 20, 2026 這個跨鏈訊息協議表示,該攻擊被 Mandiant、CrowdStrike 及獨立研究人員歸因於 DPRK 威脅行為者 TraderTraitor,又名 UNC4899。 Redbord 補充說,DeFi 持續承受打擊的結構性原因,歸結於資金的所在位置及其流動方式。「DeFi 的跨鏈複雜性使其成為目標豐富的環境——橋接持續產生最大的單一事件損失,而失效模式以驚人的一致性重複出現,因為核心問題是架構性的。」他指出。反覆出現的模式鏈上安全平台 Blockaid 共同創辦人兼技術長 Raz Niv 告訴 Decrypt,在今年最大的事件中反覆出現三種技術模式:特權存取控制失敗、惡意 proxy 升級(攻擊者將實作合約替換為帶後門的版本),以及跨鏈訊息驗證漏洞。關於特權存取,Niv 表示該公司會監控「異常的『Role Granted』事件及未授權的權限提升」,像 Echo Protocol 漏洞這類事件可追溯至被入侵或配置錯誤的管理員金鑰。「攻擊者要嘛透過社交工程手段取得私鑰,要嘛利用設計不良的 multisig 門檻。」他補充說。他指出涉及特權存取控制、惡意 proxy 升級和跨鏈驗證系統的失敗,並表示近期攻擊正暴露出連接日益複雜基礎設施的假設中更深層的弱點。「共同的脈絡並非單純的複雜性。」Niv 說。「而是每一層抽象(proxies、管理員角色、跨鏈訊息傳遞)都引入了攻擊者有系統地探測的信任假設。」 AI 影響 Niv 表示 AI 正越來越深刻地改變漏洞發掘方式,儘管他警告其影響經常被誤解。他說,當前模型在大規模識別已知漏洞方面變得越來越有效,並且正在「自動化熟練稽核人員所做的工作」,同時警告「真正的擔憂不是 AI 取代人類攻擊者」,而是 AI「放大了攻擊者」,代為處理偵察工作,讓他們得以專注於更精密的技巧。「好消息是防守方可以使用同樣的工具。AI 輔助監控與模擬,對於試圖跟上節奏的安全團隊來說正變得不可或缺。」Niv 補充說。關於 DeFi 駭客攻擊激增的現象,Newson 指出類似趨勢,她說「一個可能但非唯一的促成因素是 AI 的進步」。她補充說,CertiK 已觀察到較舊和未經驗證的合約遭利用的情況增加,使「AI 正在幫助發掘漏洞」成為合乎邏輯的假設。同樣地,Redbord 表示「壞行為者正在大規模部署 AI」,橫跨偵察、社交工程和漏洞設計,並補充說在像 Drift 這類攻擊中所見的精密程度「與 AI 輔助工作流程一致」。 TRM 分析師認為 North Korean 操作者正越來越多地將 AI 工具納入其行動中,他表示「答案是以對手在進攻中部署 AI 的同等積極程度,將 AI 部署於防禦」。超越程式碼 Redbord 表示 DeFi 駭客是「一個可解決的問題」,但他說產業需要更誠實地面對失敗實際發生的位置。他指出「稽核可防範程式碼錯誤」,卻無法防範如 Drift 這類精密的社交工程攻擊行動——據報導,North Korean 代理人在入侵前花了數月時間培養存取權限。「有效的模式是即時的公私部門協調。」這位專家補充說。 Newson 表示 2026 年可能代表「一個進化的轉折點」,她說產業正在認知到網路安全是橫跨「AI、DPRK 或基礎設施與人員」的「全端問題」。「如果你鏈下的人類流程是脆弱的,那麼你鏈上的數學再完美都沒有用。」她說,並指出產業正越來越轉向「實用、結構性的解決方案」,以因應基礎設施與社交工程風險。信心受創對 DeFi 領域信心的損害較難量化,但易於觀察。 Kelp DAO 漏洞事件僅在 Aave 一處就觸發了 62 億美元的提款潮,直到由 Aave 執行長 Stani Kulechov 領導、名為「DeFi United」的救援行動籌集了 132,650 顆 ETH(價值約 3.03 億美元)以彌補壞帳。這場協調回應顯示產業能夠動員,也顯示掩蓋單一橋接漏洞需要多少資金。 Newson 表示後果完全取決於受影響的對象。「資深的產業老手可能會將過去六週視為意料中事——不過是下一個進化常態與一次值得汲取教訓的嚴酷經驗。」她說。她指出,反覆漏洞攻擊對較新的市場參與者影響截然不同,並警告對於損失大筆資金的使用者而言,後果不是「學習經驗」,而是引發對於加密貨幣長期「可行性與安全性」的「存在性質疑」,而技術修補往往來得太遲,無法挽回損害。

資料狀態✓ 已擷取全文閱讀原文（Decrypt）

🔍歷史類似事件· 關鍵字 + 標的比對6 則

2026-04-26

儘管發生大規模漏洞利用且投資人撤資 130 億美元，為何 DeFi 並未消亡

相似度 150%關鍵字 why/defi/exploits

2026-05-28

幼兒透過跌倒學習：為何 DeFi 的 200 億美元 TVL 下跌只是市場壓力測試

相似度 130%關鍵字 why/defi

2026-05-27

Stake DAO 攻擊事件揭示為何「已審計」在 DeFi 中並不代表安全

相似度 130%關鍵字 why/defi

2026-05-25

比特幣十億美元拋售：BTC 價格持續崩跌的原因揭曉

相似度 130%關鍵字 why/keeps

2026-05-16

KelpDAO 遭駭 2.93 億美元一事，顯示出 DeFi 為何終究被迫走向成熟

相似度 130%關鍵字 why/defi

2026-05-08

這張圖表解釋了為什麼目前 BTC 正在勝出而 ETH 正在落後

相似度 130%關鍵字 why/losing

💡 目前用關鍵字 + 標的比對（MVP）· 之後會升級為 embedding 語意搜尋

原始資訊

ID：b877953ceb

來源：Decrypt

發佈：2026-05-21 13:01:04

分類：一般 · 導出分類 neutral

標的：未指定

社群投票：+0 / −0 · ⭐ 0 重要 · 💬 0 留言