#DeFiLossesTop600MInApril

2026年4月近期一波DeFi漏洞事件再次點燃了關於「組合性」的激烈辯論。儘管協議能像樂高積木一樣相互連接是DeFi最大的優勢，但它也有效地創造了一個全球攻擊面，一次漏洞就可能引發多鏈多米諾效應。

4月的數字確實令人震驚，主要由兩起被歸因於朝鮮威脅行為者的高級操作推動。

四月的「兩大事件」

僅這兩起事件的總損失就超過5.7億美元，約佔2026年4月至今所有加密貨幣黑客事件的76%。

Kelp DAO ~$292M 4月18日 基礎設施被破壞：攻擊者控制RPC節點，向橋接驗證器提供虛假數據，觸發rsETH的釋放而沒有實際燃燒。

Drift Protocol ~$285M 4月1日 社交工程：攻擊者花了6個月假扮量化公司以獲取信任，並破壞管理員密鑰，然後操縱抵押品價值。

補救措施：Arbitrum干預

在Kelp DAO被攻破後，Arbitrum DAO採取了前所未有的措施。

DAO正以近乎一致的支持投票，釋放由Arbitrum安全委員會成功「凍結」的30,765 ETH（約7100萬美元），當時攻擊者試圖橋接這些資金。

這些資金正被轉移到由Kelp DAO、Aave Labs和etherfi管理的多簽錢包中。

這些ETH將用於回購並燃燒抵押不足的rsETH，以恢復其與ETH的掛鉤，該掛鉤曾一度低於ETH價值20%。

組合性是否正變成「攻擊性」？

我們正看到從「代碼即法律」向「管道即法律」的轉變。現代的漏洞不再僅僅是智能合約的缺陷，而是轉向生態系統的連接組織：

Drift在Solana上的攻擊在12分鐘內將被盜資產橋接到以太坊，顯示出速度即退出是攻擊者的最佳策略。

像Kelp DAO這樣依賴外部訊息的協議，一個第三方「服務提供商」的失誤就可能讓本已安全的協議破產。

Drift的漏洞不是代碼缺陷，而是針對管理代碼人員的6個月「長期詐騙」。

儘管「DeFi聯合」(一個由Aave和Mantle組成的救援基金)和DAO干預顯示行業正逐步成熟其深度防禦，但使DeFi高效的「組合性」也為盜取資金提供了一條無摩擦的高速公路，使其比人類治理反應更快地在多鏈間轉移。
‍$ETH $SOL $ARB