#Gate广场五月交易分享

去中心化金融損失在四月達到$600M — 加密安全史上最糟糕的月份

2026年4月已被確認為去中心化金融史上最具破壞性的一個月。DeFiLlama 記錄了28至30起獨立的漏洞事件，損失超過6.35億美元，而 CertiK 的最終月度報告則將總損失定在約6.51億美元，這是自2022年3月以來的最差數字，當時行業損失約7.15億美元。這一單月的損失是2026年第一季度約1.64億美元總額的3.7倍，並且比3月的5,220萬美元損失激增了驚人的1,140%。#DeFiLossesTop600MInApril 的標籤已被確認，數據驗證的現實。

兩大大規模駭客攻擊造成了93%的四月損失

Drift Protocol（4月1日）：約2.85億美元被盜。TRM Labs追蹤攻擊源自北韓團體 UNC4736（Citrine Sleet），該團體花了六個月時間在 Solana 上進行社交工程，操控 Drift 團隊成員。攻擊者獲得了一個特權的 AWS 簽名密鑰，鑄造了近8000萬個 USR 代幣，幾乎沒有抵押品，並從存儲池中提取了 USDC、JLP、SOL 及其他資產。

KelpDAO（4月18日）：約2.93億美元被盜。根本原因是 KelpDAO 的 LayerZero V2 橋上的一個災難性的一對一去中心化驗證器網絡（DVN）配置。攻擊者被歸因於 Lazarus Group（TraderTraitor），他們訪問了兩個驗證器節點，注入了假跨鏈消息，然後對合法的 RPC 節點發起 DDoS 攻擊，迫使故障轉移到攻擊者控制的基礎設施。他們提取了116,500個 rsETH。LayerZero 確認多DVN配置本可以完全防止此類事件。這兩次攻擊合計佔四月總損失的93%，並且都進入了自2021年以來最大的十次加密駭客事件。

Aave 瀑布效應：$13B DeFi TVL 在48小時內壓縮

KelpDAO 攻擊者將價值2.497億美元的被盜 rsETH 作為抵押品存入 Aave V3 和 V4，跨越以太坊和 Arbitrum，借出了83,427 WETH 和 wstETH（約2.282億美元的實際資產），對未抵押的代幣進行借貸。這造成約1.96億美元的 Aave 不良債務。Aave 在數小時內凍結了 rsETH 市場，但恐慌蔓延：48小時內有84.5億美元的存款撤出 Aave，導致總 DeFi TVL 從994.97億美元下降到862.86億美元，兩天內收縮了13%。AAVE 代幣下跌了16%。僅在4月24日，以太坊就有16億美元的 DeFi 流出。

北韓：2026年所有加密駭客損失的76%

TRM Labs 報告稱，北韓國家支持的駭客在2026年佔所有加密駭客和詐騙損失的76%，在短短18天內從 Drift 和 KelpDAO 被盜575萬美元。他們自2017年以來的總盜竊金額超過60億美元。BeyondTrust 的副首席信息安全官表示：“北韓在18天內偷走了575萬美元，因為基礎設施存在單點信任、缺乏溯源驗證和無法快速響應的治理結構。”

攻擊方法轉變與恢復困難

四月的漏洞顯示出從智能合約漏洞向多層次威脅的轉變，結合了社交工程、橋接欺騙和基礎設施破壞。還有四起較小的漏洞針對橋接組件。被宣傳為去中心化的跨鏈橋仍是單點故障。恢復面臨新障礙：On-chain調查員 ZachXBT 揭露律師事務所 Gerstein Harrow LLP 提出了價值超過7100萬美元的虛假索賠，試圖將2015年的判決置於2026年駭客事件的受害者之上。Lazarus Group 被懷疑在 Arbitrum 凍結7100萬美元的同時，仍在轉移 ETH。

2026年4月證明了三件事：單一DVN橋接配置是災難性的攻擊面，流動性再抵押代幣作為抵押品會產生系統性風險，能在48小時內壓縮$175M 的TVL，以及國家級攻擊者現在結合數月的社交工程與基礎設施級技術攻擊行動。多DVN配置、溯源驗證和AI驅動的持續審計是最低生存要求。損失已被驗證。結構性漏洞已被記錄。除非 DeFi 從根本上重構其安全架構，否則下個月可能會更糟。