2026 年 4 月仅在 20 天内,加密协议因黑客攻击损失超过 6.06 亿美元,成为自 2025 年 2 月交易所 14 亿美元数据泄露事件以来最严峻的单月损失记录。KelpDAO 和 Drift Protocol 两起攻击合计占 4 月损失的 95%,以及 2026 年截至目前 7.718 亿美元总损失的 75%。
月度数据:4 月损失远超前三个月总和
(来源:DefiLlama)
根据 DefiLlama 追踪数据,2026 年各月黑客攻击损失对比:
1 月:12 起事故,损失 1.001 亿美元
2 月:8 起事故,损失 2,420 万美元
3 月:15 起事故,损失 4,130 万美元
4 月(截至 4 月 18 日):12 起事故,损失 6.062 亿美元
自 2025 年 2 月以来,每个月的损失规模均低于 2.4 亿美元。4 月的损失模式明确指向攻击者已系统性地将目标转向 DeFi 基础设施——不同于 2025 年大型 CEX 单一攻击,此次两起主要攻击均针对 DeFi 的跨链桥和借贷协议。
攻击模式转向:从 CEX 到 DeFi 基础设施全面渗透
KelpDAO 的 LayerZero 跨链桥遭攻击,损失超过 2.9 亿美元,成为 2026 年迄今最大单次 DeFi 事件;Drift Protocol 损失 2.85 亿美元,紧随其后。4 月近期还相继发生了 Vercel、Hyperbridge、Grinex Exchange 和 Rhea Finance 等一系列事故,显示攻击面正在系统性地扩展至 DeFi 生态的多个基础设施层。
从频率看,2026 年前 4.5 个月加密领域共发生 47 起黑客攻击,而 2025 年同期为 28 起,年增幅约 68%。
DeFi TVL 承压,市场信心恶化
Kelp 漏洞事件发生后,DeFi 总锁定价值(TVL)在 24 小时内下跌超过 7%,Aave 的 TVL 从 264 亿美元跌至近 179 亿美元。一位分析师提出警示:“在风险能够被合理定价之前,DeFi 仍然是一个小众市场;而目前,我们距离这个目标还很远。”
常见问题
2026 年 4 月的加密黑客损失为何如此异常?
4 月损失严重的主要原因是 KelpDAO(2.9 亿美元)和 Drift Protocol(2.85 亿美元)两起攻击合计约 5.75 亿美元,佔 4 月总损失的 95%。这两起攻击均针对 DeFi 的核心基础设施——跨链桥和借贷协议,利用了智能合约与跨链消息验证的漏洞,属于高技术难度的定向攻击。
KelpDAO 和 Drift Protocol 的攻击具体如何发生?
KelpDAO 的 LayerZero 跨链桥遭到攻击,攻击者伪造跨链消息提取了 rsETH 代币。Drift Protocol 同样遭遇安全漏洞,两起事件均已引发多个 DeFi 协议的紧急安全响应措施,包括冻结相关资产、暂停 LayerZero 桥接功能等。
DeFi 攻击频率年增 68% 对整个加密市场有何影响?
攻击频率的系统性上升被分析师视为 DeFi 风险定价尚未跟上底层基础设施漏洞暴露速度的重要信号。持续累积的安全事件不仅直接侵蚀 TVL,更对 DeFi 的机构采用构成持续性的信心障碍,可能对整个 DeFi 生态的长期发展轨迹产生深远影响。
免责声明:本页面信息可能来自第三方,不代表 Gate 的观点或意见。页面显示的内容仅供参考,不构成任何财务、投资或法律建议。Gate 对信息的准确性、完整性不作保证,对因使用本信息而产生的任何损失不承担责任。虚拟资产投资属高风险行为,价格波动剧烈,您可能损失全部投资本金。请充分了解相关风险,并根据自身财务状况和风险承受能力谨慎决策。具体内容详见
声明。
相关文章
Venus Protocol 攻击者转移 2301 枚 ETH,流入 Tornado Cash 进行洗钱
根据链上分析师 Ai 阿姨于 4 月 22 日的监测,Venus Protocol 攻击者在 11 小时前向地址 0xa21…23A7f 转移 2,301 枚 ETH(约 532 万美元),随后将资金分批转入加密混合器 Tornado Cash 进行清洗;截至监测时,攻击者链上仍持有约 1,745 万美元的 ETH。
Market Whisper39 分钟前
CometBFT 零日漏洞曝光,80 亿美元 Cosmos 网络节点面临死锁风险
安全研究员 Doyeon Park 于 4 月 21 日公开揭露 Cosmos 共识层 CometBFT 中存在一个 CVSS 7.1 级高危零日漏洞,可能导致节点在区块同步(BlockSync)阶段遭恶意对等节点攻击而陷入死锁,影响保障超 80 亿美元资产的网络。
Market Whisper45 分钟前
朝鲜 Lazarus 集团发布新款 Mach-O Man macOS 恶意软件,瞄准加密领域
摘要:Lazarus Group 发布了一款名为 Mach-O Man 的原生 macOS 恶意软件工具包,旨在攻击加密平台以及高价值高管;SlowMist 提醒用户在遭受攻击时保持谨慎。
摘要:文章称,Lazarus Group 已推出 Mach-O Man,这是一款面向加密货币平台和高价值高管的 macOS 原生恶意软件工具包。SlowMist 警告用户谨慎行事,以降低潜在攻击风险。
GateNews1小时前
霍尔木兹海峡出现比特币通行费骗局,船只支付后仍遭炮击
据 CoinDesk 于 4 月 22 日报道,希腊海事风险服务公司 Marisks 发出警告,称诈骗者冒充伊朗当局向多家航运公司发送消息,索取比特币或 USDT 作为通过霍尔木兹海峡的“通行费”。Marisks 确认相关消息并非来自伊朗官方渠道,并据路透社报道,表示相信至少有一艘船上当受骗,在周末尝试通过时仍遭炮击。
Market Whisper1小时前
RHEA Finance 安全事件更新:剩余约 40 万美元缺口,承诺全额赔付
RHEA Finance 发布针对 4 月 16 日安全事件的后续更新,确认在资产追回方面已取得实质进展;截至此次更新,估计仍存在约 40 万美元的资金缺口,主要源于借贷市场资金池中 NEAR、USDT 及 USDC 的组合。RHEA Finance 承诺全额弥补任何剩余缺口,确保所有受影响用户获得完整补偿。
Market Whisper1小时前
研究员披露:Cosmos 共识层 CometBFT 中存在关键 CVSS 7.1 零日漏洞
安全研究员朴度妍(Doyeon Park)披露了 Cosmos 的 CometBFT 中一个 CVSS 7.1 的零日漏洞,可能在同步期间导致节点冻结;厂商的抵制、降级以及披露最终促成了 4 月 21 日的揭露;验证者应在修复补丁发布前避免重启。
摘要:安全研究员朴度妍(Doyeon Park)披露了 Cosmos 的 CometBFT 共识层中一项关键的 CVSS 7.1 零日漏洞,该漏洞可能导致节点在区块同步时冻结,从而潜在影响为 $8 billion 以上资产提供安全保障的网络。该漏洞无法直接窃取资金。Park 从 2 月 22 日开始推动协调披露,但遭遇厂商对公开披露的抵制以及与 HackerOne 相关的问题。厂商于 3 月 6 日将相关漏洞 (CVE-2025-24371) 降级为信息级别(informational),促使 Park 在 4 月 21 日公开披露前先发布了网络层面的概念验证(proof-of-concept)。公告建议 Cosmos 验证者在发布补丁前避免重启节点;已经处于共识中的节点可能继续运行,但重启并进入同步可能使其遭受恶意对等方的攻击,进而带来死锁风险。
GateNews1小时前
