#DeFiLossesTop600MInApril

2026年4月已成为DeFi安全漏洞记录中最糟糕的月份。CertiK追踪到29起事件，累计损失6.51亿美元——其中两起巨型漏洞事件占据了93%的损失。

这两次灾难性攻击：

Drift协议（Solana）——$285M (4月1日)：拉撒路集团花了6个月时间建立与Drift团队的信任——在多个国家进行面对面会谈，累计存入$1M 的真实存款——然后骗取多签签名者预先批准隐藏授权，在12分钟内完成提款。资金在数小时内被桥接到以太坊。这是Solana历史上第二大漏洞。

Kelp DAO（以太坊/LayerZero）——$285M (4月18日)：攻击者在协调世界时17:35向Kelp DAO的LayerZero桥发送伪造的跨链消息，骗取其释放116,500个rsETH（约占该代币流通总量的18%）。被盗的rsETH随后作为抵押存入Aave v3，借出大量wETH——导致Aave出现$293M 的坏账，AAVE代币崩盘18%，以及约$195M 的TVL流出。

按攻击向量分类（CertiK数据）：

向量 损失

钱包被攻占 $8B
价格操控 $1,880万

代码漏洞 $1,690万

钓鱼攻击 $350万

未验证合约 $850万

前端攻击 $611M

系统性后果：

~$544K
在各协议中的DeFi TVL流出

Aave的TVL在24小时内下降了~$14B ；AAVE代币从112美元跌至89.5美元

Aave冻结了v3和v4上的rsETH市场

Arbitrum安全理事会冻结了与Kelp DAO黑客相关的约$8B 的ETH

朝鲜黑客（拉撒路集团）现在占2026年所有加密盗窃的76%（TRM Labs）

一线希望——“DeFi United”救援基金：由Aave发起的众筹恢复行动已筹集超过$71M ——足以完全弥补Kelp DAO的漏洞。捐款包括Aave DAO（25,000 ETH）、Lido DAO（2,500 ETH）以及Kelp DAO和LayerZero的承诺。

但出现新变数：链上调查员ZachXBT指控美国律师事务所Gerstein Harrow LLP提交虚假索赔，试图没收$302M 被冻结的KelpDAO资金，利用2015年对朝鲜的法院判决优先保护其客户，凌驾于2026年黑客受害者之上。ZachXBT已提出社区DAO以法律手段反制该律所。

DeFi用户的安全要点：

验证多签治理——零时间锁迁移是致命漏洞

严格审计跨链桥实现（LayerZero消息验证至关重要）

多样化抵押品——不要将持仓集中在单一的重质押代币中

监控协议冻结/暂停功能——快速响应挽救了$71M 后续的Kelp DAO尝试

使用硬件钱包，并为大额持仓采用热/冷钱包分离策略

此帖刚刚分享——尚无点赞或评论。请成为第一个参与者，帮助传播安全意识。DeFi的安全是每个人的责任。

$80M