4月加密行业损失超6亿美元，AI辅助漏洞利用成本持续走低

2026年4月，加密行业在不到20天内累计损失超过6.05亿美元，至少12个协议受到攻击。

月初，Solana上的Drift Protocol在12分钟内被盗2.85亿美元，为当时2026年最大单笔DeFi攻击。4月10日，Aethir检测到针对其ETH跨链桥合约的恶意攻击，及时切断受损合约，损失控制在9万美元以内；同日，Hyperbridge遭遇验证漏洞攻击，攻击者伪造跨链消息，铸造并抛售10亿枚桥接DOT代币，造成约250万美元损失。4月中旬前后，Silo Finance因预言机配置错误损失39.2万美元，桥接聚合器Dango因智能合约漏洞损失41万美元。NEAR网络上一名攻击者提前两天准备了423个钱包和8个假流动性池操纵预言机，盗走约1840万美元。

4月18日，Kelp DAO被盗2.92亿美元，刷新2026年DeFi被盗纪录。根本原因是1-of-1 DVN配置，攻击者利用LayerZero消息层验证漏洞，在以太坊主网铸造了116500个rsETH。事件发生后，Aave WETH借贷池使用率一度飙至100%，普通存款人无法提款，TVL四天内从264亿美元跌至170亿美元，AAVE代币下跌约18%。Aave创始人Stani Kulechov声明Aave合约本身未被攻破，此次为外部事件。SparkLend、Fluid、Lido旗下earnETH全部紧急暂停，Morpho、Sky、JupLend也出现提款潮，尽管这些协议与Kelp无直接关联。Cyvers CEO Deddy Lavid将此次连锁反应定性为DeFi可组合性风险的体现。

在AI威胁层面，Bankless联合创始人Ryan Sean Adams警告，加密遭黑客攻击频率已达历史最高水平，并认为这与AI有关。据相关数据（来源未经独立核实），过去一年AI驱动的漏洞利用价值大约每1.3个月翻一倍，对单个合约的扫描成本已降至1.22美元。去年10月，Anthropic研究人员让Sonnet 4.5和GPT-5扫描2849个刚部署的真实智能合约，两个模型各自独立发现了2个此前未知的零日漏洞，并生成对应攻击方案，模拟获利3694美元，GPT-5完成这一切的API成本约为3476美元。

2026年4月，Anthropic披露其内部模型Claude Mythos Preview自主发现了主流操作系统、浏览器和密码学库中的数千个零日漏洞（具体数量未经第三方公开验证），漏洞利用成功率达72.4%，其中一个漏洞在OpenBSD系统中潜伏了27年。该模型目前仅限40个精心挑选的企业和政府合作伙伴使用，Anthropic拒绝向公众发布，理由之一是发布后攻守双方力量会失衡。

AI安全公司Cecuro分析了2024年10月至2026年初被黑的90个DeFi智能合约，涉及总损失2.28亿美元，其专用AI安全代理成功识别出92%合约中的漏洞，而运行同一底层模型的通用AI编程代理只识别了34%。

开发者Zengineer用Claude Code构建了开源风险审计工具Skill，使用DeFiLlama、链上合约、治理文档、Safe API等公开数据评估协议架构级风险。Skill在Kelp DAO被盗前12天对其进行审计，报告给出72分（中等风险），标记了五个主要问题，包括DVN配置不透明、16条链的单点故障、与Ronin和Harmony历史攻击场景高度相似、治理覆盖范围不明、无保险基金等。需注意，该评分为Skill自身模型输出，非独立第三方审计结论。Skill目前已在DeFiLlama前100大TVL协议中的56个跑完完整审计，标记的高危协议包括JustLend、Falcon Finance、Grove Finance和Camelot。

Ledger安全负责人Charles Guillemet表示，2026年极有可能成为有史以来被盗最多的一年。