#DeFiLossesTop600MInApril

2025年4月標誌著DeFi安全的一個毀滅性轉折點，單月損失超過6億美元。這一數字是2025年第一季度全部損失的3.7倍，成為自2025年2月以來最糟糕的加密安全月。

僅兩起最大事件就佔了4月總損失的約95%。KelpDAO，一個再抵押協議，遭遇了約2.9億美元的漏洞。Drift Protocol，一個在Solana上的永續期貨平台，遭受了一次高級社交工程攻擊，損失約2.85億美元。這兩起事件都與朝鮮的國家支持黑客組織有關，區塊鏈分析公司TRM Labs報告稱，2025年被盜的所有加密貨幣價值中，有76%與朝鮮行動者有關。

這些攻擊特別令人擔憂的原因在於其手法。攻擊者並未利用傳統的智能合約漏洞，如重入漏洞或整數溢出，而是針對跨鏈基礎設施和鏈外系統。KelpDAO的漏洞源於LayerZero基礎橋接設施中的配置錯誤的跨鏈驗證設置。Drift Protocol的攻擊則是通過社交工程手段，破壞了管理員和運營訪問權限，而非純粹的代碼缺陷。

這種攻擊向量的轉變標誌著威脅格局的更廣泛演變。DeFi協議在智能合約審計和鏈上安全方面投入巨大，但連接鏈、管理密鑰和治理的基礎設施仍然脆弱。單點信任、資產跨系統轉移缺乏溯源驗證，以及無法以攻擊速度做出反應的治理結構，已成為新的薄弱環節。

市場已開始反映一些分析師所稱的“安全稅”。這些事件後的恐慌性提款在數天內使超過130億美元的DeFi鎖倉價值蒸發。對去中心化金融的信任正在侵蝕，並非因為核心技術失敗，而是因為周邊基礎設施未能抵禦國家級對手。

行業反應迅速但偏向被動。Flying Tulip和其他協議正在實施提款斷路器。安全公司正將重點從智能合約審計轉向基礎設施風險評估。Anthropic的Mythos AI模型已經開始部署，用於在攻擊者利用漏洞之前識別橋接和預言機網絡的脆弱性。

DeFi面臨的“6億美元問題”是行業能否比對手更快地進化。去中心化本應消除單點故障，但跨鏈橋和中心化管理密鑰卻重建了這些點。在協議未實現真正的去中心化治理、持續安全監控和假設被破的心態之前，這些損失將持續發生。

對用戶來說，教訓很明確：僅依賴多個協議的多元化並不足夠，因為相同的基礎設施支撐著多個平台。盡職調查必須超越智能合約審計，還要包括橋接架構、密鑰管理實踐和事件響應能力。以TVL規模或品牌知名度來信任協議的時代已經結束。

#DeFiSecurity #CryptoHacks #BlockchainSecurity