#DeFiLossesTop600MInApril

2026年4月已成為DeFi安全漏洞的有史以來最差月份。CertiK追蹤到29起事件，總損失達6.51億美元——其中兩起巨型漏洞佔了93%的損害。

這兩次災難性攻擊：

Drift Protocol（Solana）— $285M (4月1日)：拉薩勒斯集團花了6個月建立與Drift團隊的信任——進行多國面對面會議，超過$1M 的實際存款——然後欺騙多簽簽名者預先批准隱藏授權，並在12分鐘內提取資金。資金在數小時內橋接到以太坊。是Solana歷史上第二大漏洞。

Kelp DAO（以太坊/LayerZero）— $285M (4月18日)：攻擊者在UTC時間17:35向Kelp DAO的LayerZero橋發送偽造的跨鏈消息，騙它釋放116,500個rsETH（約佔該代幣流通總量的18%）。被盜的rsETH隨後作為抵押品存入Aave v3，借出大量wETH——導致Aave出現$293M 的壞帳，AAVE代幣崩跌18%，以及約$195M 的TVL流出。

攻擊向量細分（CertiK數據）：

向量 損失

錢包被攻破 $8B
價格操縱 $18.8M

代碼漏洞 $16.9M

釣魚 $3.5M

未驗證合約 $8.5M

前端攻擊 $611M

系統性後果：

~$544K
在各協議中的DeFi TVL流出

Aave的TVL在24小時內下降約$14B ；AAVE代幣從112美元跌至89.5美元

Aave在v3和v4上凍結了rsETH市場

Arbitrum安全委員會凍結了約$8B 與Kelp DAO被攻擊相關的ETH

北韓操作員（拉薩勒斯集團）現在佔2026年所有加密盜竊的76%（TRM Labs）

一線希望——“DeFi United”救援基金：由Aave牽頭的群眾募資救援活動已籌集超過$71M ——足以完全彌補Kelp DAO的漏洞。捐款包括Aave DAO（25,000 ETH）、Lido DAO（2,500 ETH），以及Kelp DAO和LayerZero本身的承諾。

但有新變數：鏈上調查員ZachXBT指控美國律師事務所Gerstein Harrow LLP提交虛假索賠，企圖沒收$302M 被凍結的KelpDAO資金，並利用2015年對北韓的法院判決來優先保護其客戶，凌駕於2026年實際受害者之上。ZachXBT已提出社群DAO，以法律手段對抗該律所。

DeFi用戶的安全要點：

驗證多簽治理——零時間鎖遷移是致命漏洞

嚴格審核跨鏈橋實現（LayerZero消息驗證至關重要）

多元化抵押品——不要將持倉集中在單一的重置幣上

監控協議的凍結/暫停功能——快速反應挽救了約$71M 的Kelp DAO後續嘗試

使用硬體錢包，並對大額持倉採用熱/冷錢包分離策略

此貼文為最新分享——尚無點讚或評論。請率先參與並幫助擴散認知。DeFi安全是每個人的責任。

$80M