为什么 DeFi 因漏洞利用不断损失数百万美元

📄完整原文· 由 trafilatura 自动抓取Gemini 翻譯8607 字

簡述 - DeFi 協議在 2026 年前五個月已損失超過 10 億美元，僅 4 月就在 Drift、Kelp DAO 及十多起較小事件中失血超過 6 億美元。 - 根據 TRM Labs 數據，截至 2026 年 4 月，北韓相關行為者佔全球加密貨幣駭客損失的 76%，高於 2025 年的 64% 和 2020 年的不到 10%。 - 專家表示，AI 正在降低漏洞發現的門檻，較舊及未驗證的智能合約日益成為自動化偵察的目標。這是 DeFi 駭客攻擊有紀錄以來最糟糕的年份之一，而我們才剛過半年。 2026 年前五個月，DeFi 駭客攻擊造成超過 8.4 億美元的損失——僅 4 月就有超過 6 億美元被盜，由年度兩起最大規模的攻擊領銜：2.92 億美元的 KelpDAO 漏洞利用事件和 2.85 億美元的 Drift Protocol 入侵事件。損失延續到 5 月，安全研究人員標記出一起疑似影響超過 1,000 萬美元的跨鏈漏洞利用事件後，THORChain 暫停了交易。根據 DeFiLlama 數據，TrustedVolumes、Echo Protocol、Step Finance、Truebit、Resolv Labs、Volo Protocol、Rhea Finance、Verus-Ethereum 跨鏈橋及許多其他項目共同構成了一份傷亡名單，讀起來就像對 DeFi 所依賴的每一項信任假設進行的壓力測試。 Decrypt 採訪的專家們普遍認同這一診斷：近期的 DeFi 駭客攻擊正在暴露跨鏈橋和管理員系統中的結構性弱點，而 AI 的進步可能正在幫助攻擊者更快地發現漏洞。 Web3 安全平台 CertiK 的高級區塊鏈調查員 Natalie Newson 告訴 Decrypt，雖然 4 月對加密貨幣漏洞利用事件而言異常嚴峻，但更廣泛的趨勢仍相對穩定，並低於 2023 年所見的事件峰值數量。「2026 年 4 月對加密貨幣漏洞利用事件而言是糟糕的一個月；只有三天沒有發生至少被盜取 10,000 美元的漏洞利用事件，」她說。「然而，當我們審視更廣泛的全景時，事件數量（不含釣魚攻擊）可以說相當一致，並且仍低於 2023 年的峰值，」Newson 指出，並補充說 4 月的嚴重性是由 14 起損失超過 100 萬美元的漏洞利用事件所驅動，僅次於 2025 年 9 月的 16 起。北韓因素 TRM Labs 全球政策與政府事務主管 Ari Redbord 告訴 Decrypt，這波激增可追溯至單一國家行為者，該行為者在五年內從邊緣參與者轉變為決定性威脅。「主導驅動力是北韓，而且這場行動正變得更加犀利，而非更加廣泛，」Redbord 表示，並指出在 2026 年前四個月，北韓相關行為者佔全球加密貨幣駭客損失的 76%，高於 2025 年的 64% 和 2020 年的不到 10%。「北韓不僅利用技術攻擊該領域，還運用精密且精心策劃的社交工程，」他說。迄今為止年度最大的 DeFi 駭客攻擊於 4 月 18 日襲擊 KelpDAO，攻擊者從一個跨鏈橋中抽走了約 116,500 rsETH，價值約 2.92 億美元。支撐該跨鏈橋訊息傳遞基礎設施的 LayerZero 在最新的事後分析報告中表示，攻擊始於 3 月 6 日，當時一名開發人員遭到社交工程操弄，會話密鑰被竊取。 We're sharing our completed post-mortem on the April 18th incident, prepared with @Mandiant and @CrowdStrike. We are publishing both an executive summary and the full report at the link below. Over the past four weeks, we've worked with hundreds of partners to help them… pic.twitter.com/yVZdqjLTeT — LayerZero (@LayerZero_Core) May 20, 2026 該跨鏈訊息傳遞協議表示，Mandiant、CrowdStrike 及獨立研究人員將此次攻擊歸因於 DPRK 威脅行為者 TraderTraitor，又稱 UNC4899。 Redbord 補充說，DeFi 持續承受打擊的結構性原因，歸根結底在於資金所處的位置及其流動方式。「DeFi 的跨鏈複雜性使其成為目標豐富的環境——跨鏈橋持續產生最大規模的單一事件損失，且失效模式以驚人的一致性反覆出現，因為核心問題是架構性的，」他指出。反覆出現的模式鏈上安全平台 Blockaid 的聯合創辦人兼 CTO Raz Niv 告訴 Decrypt，在本年度最大的事件中，有三種技術模式不斷出現：特權訪問控制失效、惡意代理升級（攻擊者將實作合約替換為帶後門的版本）以及跨鏈訊息驗證漏洞。關於特權訪問，Niv 表示該公司會監控「異常的『角色授予』事件和未經授權的權限升級」，像 Echo Protocol 漏洞利用之類的事件可追溯至遭入侵或配置錯誤的管理員密鑰。「攻擊者要嘛透過社交工程獲取私鑰，要嘛利用設計不良的多重簽名閾值，」他補充說。他指出涉及特權訪問控制、惡意代理升級和跨鏈驗證系統的失效案例，並表示近期的攻擊正在暴露連接日益複雜基礎設施的假設中更深層的弱點。「共同的脈絡並非複雜性本身，」Niv 說。「而是每一層抽象（代理、管理員角色、跨鏈訊息傳遞）都引入了攻擊者會有條不紊地探測的信任假設。」 AI 影響 Niv 表示，AI 正日益改變漏洞發現方式，但他警告其影響經常被誤解。他說，目前的模型在大規模識別已知漏洞方面越來越有效，並且正在「自動化技術嫻熟的審計員所做的事情」，同時警告「真正令人擔憂的並非 AI 取代人類攻擊者」，而是 AI 透過處理偵察工作來「放大攻擊者」，讓他們得以專注於更精密的技術。「好消息是，防禦者可以使用相同的工具。AI 輔助的監控和模擬對於試圖跟上步伐的安全團隊來說正變得至關重要，」Niv 補充說。針對 DeFi 駭客攻擊激增的情況，Newson 指出了類似的趨勢，並表示「一個可能是促成因素（雖非唯一因素）的是 AI 的進步。」她補充說，CertiK 已觀察到較舊及未驗證的合約被利用的情況有所上升，使「AI 正在幫助發現漏洞」成為合乎邏輯的推斷。同樣地，Redbord 表示「不良行為者正在大規模部署 AI」於偵察、社交工程和漏洞利用設計上，並補充說在像 Drift 這類攻擊中所見的精密程度，似乎「與 AI 輔助的工作流程一致」。 TRM 分析師相信北韓操作者正越來越多地將 AI 工具納入其行動中，他表示：「答案是以對手在進攻端部署 AI 的同等積極程度，在防禦端部署 AI。」超越程式碼之上 Redbord 表示 DeFi 駭客攻擊是「一個可解決的問題」，但他指出業界需要更誠實地面對失效實際發生的地方。他指出「審計可防範程式碼漏洞」，但無法防範像 Drift 那樣精密的社交工程行動，據報導北韓代理人在入侵前花了數月時間培養訪問權限。「有效的模式是即時的公私部門協調，」這位專家補充說。 Newson 表示 2026 年可能代表「一個演化的轉捩點」，並指出業界正逐漸了解到網路安全是一個跨越「AI、DPRK、基礎設施和人員」的「全端問題」。「如果你鏈下的人為流程是脆弱的，那麼你鏈上的數學再完美也無關緊要，」她說，並指出業界正日益轉向「實用的、結構性的解決方案」以應對基礎設施和社交工程風險。信心打擊對 DeFi 領域信心造成的損害較難量化，但很容易觀察到。 Kelp DAO 漏洞利用事件僅從 Aave 就引發了 62 億美元的提款潮，之後由 Aave CEO Stani Kulechov 領導的救助行動，名為「DeFi United」，籌集了 132,650 ETH（價值約 3.03 億美元）以填補壞帳。這次協調一致的回應顯示業界能夠動員起來。它也顯示出要彌補單一跨鏈橋漏洞利用事件需要多少資金。 Newson 表示，後續影響完全取決於誰受到影響。「資深的業界老兵可能會將過去六週視為常態——只是下一個演化常規以及一段需要從中汲取教訓的嚴酷經歷，」她說。她指出，重複漏洞利用事件對較新的市場參與者而言看起來非常不同，並警告對於損失大量資金的用戶來說，後續影響並非「學習經歷」，而是引發了關於加密貨幣長期「可行性與安全性」的「存在性問題」，技術修復往往來得太晚，無法挽回損失。

数据状态✓ 已抓取全文阅读原文（Decrypt）

🔍历史类似事件· 关键词 + 标的比对6 则

2026-04-26

尽管遭受大规模攻击且有 130 亿美元投资者撤离，为何 DeFi 依然未死

相似度 150%關鍵字 why/defi/exploits

2026-05-28

蹒跚学步的孩子通过摔倒来学习：为什么 DeFi 的 200 亿美元 TVL 下跌只是一次市场压力测试

相似度 130%關鍵字 why/defi

2026-05-27

Stake DAO 被攻击事件表明了为什么在 DeFi 中“已审计”并不意味着安全

相似度 130%關鍵字 why/defi

2026-05-25

比特币十亿美元抛售：BTC 价格持续暴跌的原因

相似度 130%關鍵字 why/keeps

2026-05-16

2.93亿美元的KelpDAO黑客事件表明，DeFi终于被迫走向成熟

相似度 130%關鍵字 why/defi

2026-05-08

这张图表解释了为什么 BTC 目前胜出而 ETH 正在失利

相似度 130%關鍵字 why/losing

💡 目前用关键词 + 标的比对（MVP）· 之后会升级为 embedding 语义搜寻

原始信息

ID：b877953ceb

来源：Decrypt

发布：2026-05-21 13:01:04

分类：一般 · 导出分类 neutral

标的：未指定

社群投票：+0 / −0 · ⭐ 0 重要 · 💬 0 留言