2026 年 4 月僅 20 天內,加密協議因駭客攻擊損失超過 6.06 億美元,成為自 2025 年 2 月交易所 14 億美元資料外洩事件以來最嚴峻的單月損失紀錄。KelpDAO 和 Drift Protocol 兩起攻擊合計佔 4 月損失的 95%,以及 2026 年截至目前 7.718 億美元總損失的 75%。
月度數據:4 月損失遠超前三個月總和
(來源:DefiLlama)
根據 DefiLlama 追蹤數據,2026 年各月駭客攻擊損失對比:
1 月:12 起事故,損失 1.001 億美元
2 月:8 起事故,損失 2,420 萬美元
3 月:15 起事故,損失 4,130 萬美元
4 月(截至 4 月 18 日):12 起事故,損失 6.062 億美元
自 2025 年 2 月以來,每個月的損失規模均低於 2.4 億美元。4 月的損失模式明確指向攻擊者已系統性地將目標轉向 DeFi 基礎設施——不同於 2025 年大型 CEX 單一攻擊,此次兩起主要攻擊均針對 DeFi 的跨鏈橋和借貸協議。
攻擊模式轉向:從 CEX 到 DeFi 基礎設施全面滲透
KelpDAO 的 LayerZero 跨鏈橋遭攻擊,損失超過 2.9 億美元,成為 2026 年迄今最大單次 DeFi 事件;Drift Protocol 損失 2.85 億美元,緊隨其後。4 月近期還相繼發生了 Vercel、Hyperbridge、Grinex Exchange 和 Rhea Finance 等一系列事故,顯示攻擊面正在系統性地擴展至 DeFi 生態的多個基礎設施層。
從頻率看,2026 年前 4.5 個月加密領域共發生 47 起駭客攻擊,而 2025 年同期為 28 起,年增幅約 68%。
DeFi TVL 承壓,市場信心惡化
Kelp 漏洞事件發生後,DeFi 總鎖定價值(TVL)在 24 小時內下跌超過 7%,Aave 的 TVL 從 264 億美元跌至近 179 億美元。一位分析師提出警示:「在風險能夠被合理定價之前,DeFi 仍然是一個小眾市場;而目前,我們距離這個目標還很遠。」
常見問題
2026 年 4 月的加密駭客損失為何如此異常?
4 月損失嚴重的主要原因是 KelpDAO(2.9 億美元)和 Drift Protocol(2.85 億美元)兩起攻擊合計約 5.75 億美元,佔 4 月總損失的 95%。這兩起攻擊均針對 DeFi 的核心基礎設施——跨鏈橋和借貸協議,利用了智能合約與跨鏈消息驗證的漏洞,屬於高技術難度的定向攻擊。
KelpDAO 和 Drift Protocol 的攻擊具體如何發生?
KelpDAO 的 LayerZero 跨鏈橋遭攻擊,攻擊者偽造跨鏈消息提取了 rsETH 代幣。Drift Protocol 同樣遭遇安全漏洞,兩起事件均已引發多個 DeFi 協議的緊急安全響應措施,包括凍結相關資產、暫停 LayerZero 橋接功能等。
DeFi 攻擊頻率年增 68% 對整個加密市場有何影響?
攻擊頻率的系統性上升被分析師視為 DeFi 風險定價尚未跟上底層基礎設施漏洞暴露速度的重要信號。持續累積的安全事件不僅直接侵蝕 TVL,更對 DeFi 的機構採用構成了持續性的信心障礙,可能對整個 DeFi 生態的長期發展軌跡產生深遠影響。
免責聲明:本頁面資訊可能來自第三方,不代表 Gate 的觀點或意見。頁面顯示的內容僅供參考,不構成任何財務、投資或法律建議。Gate 對資訊的準確性、完整性不作保證,對因使用本資訊而產生的任何損失不承擔責任。虛擬資產投資屬高風險行為,價格波動劇烈,您可能損失全部投資本金。請充分了解相關風險,並根據自身財務狀況和風險承受能力謹慎決策。具體內容詳見
聲明。
相關文章
武裝搶匪在法國入室行搶,盜走價值 70 萬歐元的加密資產
Gate News 消息,4 月 22 日 — 兩名蒙面持槍歹徒於 4 月 20 日上午闖入法國 Ploudalmezo 的一處住宅,將 5 人扣為人質數小時,其中包括兩名兒童和兩名年長居民。歹徒逼迫家屬在逃離前轉移約 €700,000 的
GateNews剛剛
DOJ 啟動 OneCoin 詐欺受害者賠償流程,已追回資產 $40M+ 可供使用
Gate News 消息,4月22日 — 美國司法部已宣布啟動針對 OneCoin 加密貨幣詐欺計畫受害者的賠償流程,目前已有超過 $40 百萬美元的已追回資產可供分配。
該詐欺計畫由 Ruja
GateNews1小時前
AI16Z、ELIZAOS 造幣方因 26 億美元詐欺指控被起訴;代幣自巔峰暴跌 99.9%
聯邦集體訴訟指控 AI16Z/ELIZAOS 涉嫌透過虛假的 AI 聲稱與誤導性行銷進行價值 26 億美元的加密詐欺;指稱內部人士偏袒與一套被安排的自主系統;並根據消費者保護法尋求損害賠償。
摘要:本報告涵蓋一起於 4 月 21 日提出的 SDNY(紐約南區聯邦法院)聯邦集體訴訟,指控 AI16Z 及其改名後的 ELIZAOS 涉嫌涉及 26 億美元的加密詐欺,內容包含虛假的 AI 聲稱與誤導性行銷。訴訟指稱其刻意製造與 Andreessen Horowitz 之間的關聯,且運作的並非自主系統。報告詳述其在 2025 年初達到最高估值、下跌 99.9%,以及約 4,000 個虧損錢包,同時內部人士取得約 40% 的新代幣。原告依紐約與加州的消費者保護法尋求損害賠償與衡平救濟。韓國監管機構與主要交易所已對相關交易發出警告或暫停交易。
GateNews2小時前
SlowMist 警報:正在運作的 MacSync Stealer macOS 惡意程式,鎖定加密用戶
SlowMist 警告:MacSync Stealer (v1.1.2),針對 macOS 的惡意程式,會竊取錢包、憑證、鑰匙串以及基礎設施金鑰,透過偽造的 AppleScript 提示與虛假的「不支援」錯誤;呼籲提高警惕並留意 IOCs。
摘要:本報告彙整 SlowMist 對 MacSync Stealer (v1.1.2) 的警示內容,該惡意程式為 macOS 資訊竊取程式,目標鎖定加密貨幣錢包、瀏覽器憑證、系統鑰匙串以及基礎設施金鑰 (SSH、AWS、Kubernetes)。它透過偽造的 AppleScript 對話框來欺騙使用者,要求輸入密碼,並顯示可見的虛假「不支援」訊息。SlowMist 向客戶提供 IOCs,並建議避免執行未經驗證的 macOS 腳本,且對異常的密碼提示保持警覺。
GateNews3小時前
北韓 Lazarus 集團部署 Mach-O Man 惡意程式,從 macOS 使用者竊取加密錢包憑證
Lazarus 在 macOS 上釋出 Mach-O Man,用於竊取鑰匙串資料和錢包憑證,並透過 ClickFix 彈出視窗鎖定加密貨幣高管,且通過遭入侵的 Telegram 會議進行攻擊。
摘要:該文章指出,與 Lazarus 有關聯的 Mach-O Man 惡意程式鎖定 macOS,以外洩鑰匙串資料、瀏覽器憑證和登入會話,藉此存取加密貨幣錢包與交易所帳戶。其散布仰賴 ClickFix 社交工程手法,以及遭入侵的 Telegram 帳戶,將受害者導向假的會議連結。文章將此次行動與 4 月 20 日的 Kelp DAO 駭客事件連結,並指出 TraderTraitor 與 Lazarus 有關,同時提到透過 LayerZero 的 OFT 標準在區塊鏈之間移動 rsETH。
GateNews3小時前
ZachXBT Warns Against Bitcoin Depot ATM Over 44% Bitcoin Markup
ZachXBT warns Bitcoin Depot ATMs impose steep premiums—$25k fiat at $108k/BTC vs ~$75k market (about 44%), leading to ~ $7.5k loss on 0.232 BTC; also notes a $3.26M security breach.
This article summarizes ZachXBT's warnings about Bitcoin Depot's pricing practices and a recent security breach, highlighting risks from inflated rates and security lapses for users.
GateNews5小時前
