加密貨幣駭客攻擊在四月創下歷史新高，逾20起漏洞利用事件撼動DeFi

僅在2026年4月，駭客就透過20至30次獨立攻擊竊取了逾6.25億美元，幾乎每天發生一次攻擊。DefiLlama在X上發布的圖表顯示，4月份平均每天近1次攻擊，而此前的月度記錄很少超過12至15起事件。

這一數字超越了此前所有季度的總和，使該月朝著安全漏洞事件的歷史新高邁進。

為何兩次攻擊造成了幾乎全部損失？

數起高影響力事件定義了這個月份。2026年4月1日，Drift Protocol損失了2.85億美元。一個北韓組織花了約六個月時間與Drift員工建立信任，最終利用預先簽署的提款指令在12分鐘內盜走資金。

正如Cryptopolitan早前報導，KelpDAO緊隨其後，在4月18日損失了2.93億美元，攻擊者欺騙其系統釋放了毫無實際支撐的代幣。

兩次攻擊均源自北韓，但使用了不同的手法，展現出DeFi行業尚未準備好應對的高超技術水準。這兩起事件合計佔4月份損失的大多數，顯示出少數精密攻擊如何能夠動搖DeFi生態系統的大部分。

為何一次駭客攻擊凍結了與KelpDAO毫無關聯的數十億資金？

KelpDAO攻擊背後的組織將竊取的代幣作為抵押品存入Aave，並以此借入了近1.9億美元的真實以太幣。 

Aave此時持有毫無價值的代幣作為真實貸款的擔保，該平台的存款在短短48小時內從264億美元降低到約179億美元。 平台上的穩定幣池達到100%使用率，根據Galaxy Research的數據，Aave的壞帳增加到1.237億至2.3億美元之間。

攻擊發生後數天內，逾130億美元從DeFi協議流出，用戶恐慌性開始提取資金。 Morpho、Spark、Lido、Yearn、Beefy乃至以太坊本身等平台因大規模資金外流而凍結了某些操作，整個行業的信任崩潰。

這些都未能反映出TVL、用戶信任、估值以及整個生態系統士氣所承受的附帶損害。在風險能夠被適當定價之前，DeFi仍將是一個小眾市場。——DeFi分析師，引自BeInCrypto。

誰應負責，他們總共竊取了多少？

根據TRM Labs的數據，截至2026年4月，北韓政府支持的駭客組織對所有加密貨幣駭客損失的75%負有責任（總計7.59億美元中的5.77億美元）。

正如聯合國、美國財政部及多家區塊鏈情報公司所記錄，北韓由於受到嚴厲的國際制裁，竊取加密貨幣以資助其政府和武器計劃。TRM Labs報告指出，北韓自2017年以來已竊取逾60億美元的加密貨幣。

「我們所目睹的並非一場規模更大的北韓行動——而是一場更為精準的行動，」TRMLabs全球政策與政府事務主管Ari Redbord表示。「北韓的行動速度比以往任何時候都更快、更精準。」

除兩起重大攻擊外，4月份其餘時間發生了什麼？

Rhea Finance在4月10日損失了1,840萬美元。Tether及時凍結了其中329萬美元，但攻擊者使用閃電貸操縱價格，抽乾了資金池中剩餘的金額。

同樣地，吉爾吉斯斯坦加密貨幣交易所Grinex在4月15日損失了1,374萬美元的USDT，駭客將資金分散至54個錢包並轉換為SunSwap，使其難以追蹤。Hyperbridge也在Polkadot網路上損失了250萬美元，CoW Swap在4月14日損失了120萬美元。

鏈上分析師Wazz於4月29日在X上發文稱：「數百個錢包（其中許多已超過7年未活動）剛剛被ETH主網上的同一地址清空。」他補充道：「似乎是一個新的實時漏洞攻擊，值得關注。」

然而事情並未就此結束，Wasabi Protocol在4月最後一天損失了約500萬美元，攻擊者使用一個已洩露的部署密鑰對系統發動攻擊。

DeFi是否變得更安全還是更危險？

兩者兼而有之，取決於你的看法。例如，多年來攻擊後的應對速度已大幅提升，KelpDAO事件發生後，逾14個組織向DeFi United救援基金承諾提供逾3億美元。

Arbitrum安全委員會甚至動用緊急權力凍結了攻擊者7,100萬美元的資金，這在幾年前是從未可能實現的事情。 

然而，攻擊的演進速度也超過了防禦措施所能跟上的速度，因為4月份兩起最大事件均利用了人為操控手段，而非早年大多數駭客攻擊所利用的智能合約漏洞。

若損失以相同數量的駭客攻擊按此速度持續，該行業在未來數月可能損失約75億美元，是2024年損失的3倍。

如果你想在沒有慣常炒作的情況下，以更平穩的方式進入DeFi加密貨幣領域，請從這段免費影片開始。