4月加密安全事件频发:至少13个协议受攻击,月内累计损失逾6亿美元
截至4月19日,本月已有至少13个加密协议或平台遭到攻击,累计损失超过6亿美元。其中Drift Protocol与Kelp DAO两起事件损失均超2.8亿美元,Kelp DAO事件目前被认为是2026年迄今规模最大的DeFi安全事件。
截至4月19日,4月份已记录至少13起针对加密协议或平台的攻击事件,累计损失超过6亿美元。
规模最大的两起事件分别发生在月初与月中。Drift Protocol是Solana上最大的去中心化永续合约交易平台,于4月1日遭到攻击,损失约2.85亿美元。链上记录显示,攻击者早在3月11日便从Tornado Cash提取10 ETH,链上布局历时近3周,实际攻击执行全程约12分钟。大部分被盗资金在数小时内通过Circle CCTP跨链转移至以太坊。此次事件是Solana历史上第二大安全事件,仅次于2022年Wormhole跨链桥事件(损失约3.26亿美元)。
Kelp DAO于4月18日遭到攻击,约11.65万枚rsETH被盗,按事发时价格计算价值约2.92亿美元,占rsETH流通量约18%。攻击者通过伪造跨链消息,诱使LayerZero EndpointV2合约的lzReceive函数释放桥内储备资金。该事件损失已超过Drift,被认为是2026年迄今最大的DeFi黑客事件。
其他事件方面:Hyperbridge于4月13日因跨链证明验证漏洞被攻击,损失约250万美元;NEAR生态借贷协议Rhea Finance于4月16日遭攻击,总损失约1840万美元;与俄罗斯存在关联的交易平台Grinex同日遭攻击,损失约1500万美元。
多起重大事件被溯源至与朝鲜相关的黑客组织,但具体溯源依据尚未公开说明。
解读
4月份的攻击事件在技术手法上呈现出两个值得关注的特征:一是预谋周期拉长,Drift事件显示攻击者提前近3周完成链上资金准备,说明针对高价值协议的攻击已具备较强的计划性;二是跨链机制成为重点攻击面,Kelp DAO事件利用LayerZero消息验证逻辑,Drift事件则借助CCTP快速转移资产,跨链基础设施的安全性正面临持续压力。Kelp DAO事件中约18%的流通量被盗,对协议偿付能力和用户信心的影响仍有待观察,相关数据在事件发生后短期内可能持续变动。