這是有記錄以來最糟糕的年份之一。去中心化金融黑客攻擊,而我們才完成了一半。
在 2026 年前五個月,超過 8.4 億美元 的 DeFi 黑客攻擊造成了超過 6 億美元的損失——僅 4 月就有超過 6 億美元被盜,其中兩起年度最大攻擊事件是:KelpDAO 漏洞利用案造成 2.92 億美元損失 以及 2.85 億美元的漂移協議漏洞。
虧損一直延續到五月份。雷神鏈安全研究人員發現疑似跨鏈漏洞,影響金額超過 1000 萬美元,隨後暫停交易。
可信卷, 回声协议, Step Finance, Truebit, Resolv Labs, 沃洛协议, Rhea Finance, Verus-以太坊桥 以及其他許多公司也加入了這場災難,這份名單就像是對 DeFi 所依賴的每一項信任假設的一次壓力測試。DeFiLlama 數據
專家解密與會者普遍認同這樣的診斷:近期發生的 DeFi 黑客事件暴露了 DeFi 領域的結構性缺陷。橋樑以及管理系統,而人工智慧的進步可能正在幫助攻擊者更快地發現漏洞。
Natalie Newson,Web3 安全平台 CertiK 的高級區塊鏈調查員,告訴 解密,雖然 4 月的加密貨幣攻擊事件異常嚴重,但整體趨勢仍相對穩定,且低於 2023 年的峰值事件數量。
“2026 年 4 月是加密貨幣漏洞攻擊頻發的一個月;只有三天沒有發生漏洞攻擊,而且每天至少有 1 萬美元被盜,”她說。
「然而,從更廣闊的視角來看,事件數量(不包括釣魚)可謂相當穩定,且仍低於 2023 年的峰值,」紐森指出,並補充說,4 月份的嚴重程度是由 14 起損失超過 100 萬美元的攻擊事件造成的,僅次於 2025 年 9 月的 16 起。
朝鮮因素
Ari Redbord,全球政策與政府事務主管TRM實驗室告訴解密這一[激增]事件可以追溯到某個國家行為體,該行為體在五年內從邊緣角色變成了決定性威脅。
雷德博德表示:「朝鮮是主要驅動力,而且這場行動正變得越來越精準,而非越來越廣泛。」他還指出,與朝鮮有關聯的行動者也參與其中。已記錄2026 年前四個月,全球加密貨幣黑客攻擊造成的損失中,76% 將發生在這裡,高於 2025 年的 64% 和 2020 年的不到 10%。
他說:“朝鮮不僅利用技術攻擊太空,還利用複雜且精心策劃的社會工程手段。”
今年迄今最大的 DeFi 黑客攻擊發生在 4 月 18 日,攻擊者從跨鏈橋中竊取了約 116,500 個 rsETH,價值約 2.92 億美元。
LayerZero 是該橋接協議的底層訊息傳遞基礎設施提供商,該公司在最新聲明中表示……尸检报告攻擊始於 3 月 6 日,當時一名開發人員受到社交工程攻擊,會話密鑰被竊取。
我們將分享由……準備的關於4月18日事件的事故調查報告。@Mandiant和@CrowdStrike我們將在以下連結發布執行摘要和完整報告。
過去四周,我們與數百家合作夥伴攜手幫助他們……pic.twitter.com/yVZdqjLTeT
— LayerZero (@LayerZero_Core)2026年5月20日
跨鏈消息傳遞協議稱,Mandiant、CrowdStrike 和獨立研究人員將此次攻擊歸咎於朝鮮威脅行為者 TraderTraitor,又名 UNC4899。
Redbord 補充說,DeFi 持續遭受衝擊的結構性原因歸根結底在於資金的存放位置和流動方式。
他指出:「DeFi 的跨鏈複雜性使其成為一個充滿攻擊目標的環境——橋接器總是造成最大的單次事件損失,而且故障模式以驚人的一致性重複出現,因為核心問題是架構上的。」
重複出現的模式
Raz Niv,鏈上安全平台聯合創始人兼首席技術官Blockaid告訴解密,在今年最大的幾起事件中,有三種技術模式反覆出現:特權訪問控制故障、惡意代理升級(攻擊者將實現合約替換為帶後門的版本)以及跨鏈訊息驗證漏洞。
關於特權存取,Niv 表示,公司會監控「異常的『角色授予』事件和未經授權的權限提升」,例如以下事件:回聲協議漏洞利用追溯到管理員密鑰洩露或配置錯誤。
他補充道:「攻擊者要么通過社會工程手段獲取私鑰,要么利用設計不合理的多重簽名閾值。」
他指出了特權存取控制、惡意代理升級和跨鏈驗證系統等方面的失敗,並表示最近的攻擊暴露了連接日益複雜的基礎設施的假設中更深層的弱點。
Niv 表示:「共同點不在於複雜性本身,而在於每一層抽象(代理、管理員角色、跨鏈訊息傳遞)都會引入信任假設,而攻擊者會系統性地進行探測。」
人工智能的影響
Niv 表示,人工智能正在日益改變漏洞發現的方式,但他同時警告說,人工智能的影響常常被誤解。
他表示,目前的模型在大規模識別已知漏洞方面變得越來越有效,並且「正在自動化熟練審計人員的工作」,同時警告說,「真正的擔憂不是人工智能取代人類攻擊者」,而是人工智能通過處理偵察工作「增強攻擊者的能力」,使他們能夠專注於更複雜的技術。
“好消息是,防禦者也可以使用相同的工具。人工智能輔助的監控和模擬對於努力跟上時代步伐的安全團隊來說正變得至關重要,”尼夫補充道。
Newsom 指出,DeFi 黑客攻擊激增也呈現出類似的趨勢,他說:“人工智能的進步可能是促成這一現象的一個因素,儘管它不是唯一因素。”
她補充說,CertiK 發現利用舊合約和未經核實的合約的情況有所增加,由此「合乎邏輯地推斷人工智慧正在幫助發現漏洞」。
同樣,Redbord 表示,“不良行為者正在大規模部署人工智慧”,用於偵察、社會工程和漏洞利用設計,並補充說,像 Drift 這樣的攻擊所展現的複雜性似乎“與人工智慧輔助的工作流程一致”。
TRM 分析師認為,朝鮮的作戰人員正越來越多地將人工智慧工具融入他們的行動中,他表示,「解決辦法是以與對手在進攻中部署人工智慧相同的侵略性在防禦中部署人工智慧。」
以上是代碼
Redbord 表示,DeFi 黑客攻擊是「一個可以解決的問題」,但他同時表示,該行業需要更加坦誠地說明故障實際發生在哪裡。
他指出,「審計可以防止代碼漏洞」,但無法防范像 Drift 這樣複雜的社會工程攻擊,據報道,朝鮮代理人參與了 Drift 攻擊。花費數月時間爭取訪問權限在違規行為發生之前。
The expert added: "A working model is real-time public-private collaboration."
紐森表示,2026 年可能代表著“一個演進的轉折點”,並指出該行業正在認識到網路安全是一個“全棧問題”,涵蓋“人工智慧、朝鮮民主主義人民共和國,或者基礎設施和人員”。
「如果你的鏈下人工流程存在漏洞,那麼鏈上的數學運算再完美也無濟於事,」她表示,並指出該行業正日益轉向「切實可行的結構性解決方案」,以應對基礎設施和社會工程風險。
信心受挫
DeFi 領域的信心受損程度難以量化,但很容易觀察到。
Kelp DAO 的漏洞引發了 62 億美元的資金外流。艾維在由 Aave 首席执行官 Stani Kulechov 領導的救援行動之前,他獨自一人,該行動被稱為“DeFi United”,籌集了價值約 3.03 億美元的 132,650 ETH 來擔保壞賬。
這種協調一致的應對措施表明,該行業能夠動員起來。這也表明,掩蓋一起橋梁盜竊案需要多少資金。
Newsom 表示,後果完全取決於誰會受到影響。
「經驗豐富的業內人士可能會將過去六週的情況視為理所當然——只不過是下一個發展階段的常態,也是一次需要從中吸取教訓的慘痛經歷,」她說。
她指出,反覆攻擊對新市場參與者的影響截然不同,並警告說,對於損失大量資金的用戶來說,後果並非「學習經驗」,而是引發了關於加密貨幣長期「可行性和安全性」的「生存性問題」,而技術修復往往為時已晚,無法挽回損失。