币须知道4 月 29 日,2026 年 4 月已成为加密行业自 2025 年 2 月 Bybit 被盗 14 亿美元以来损失最严重的单月。据 DeFiLlama 数据,截至 4 月 18 日,短短 18 天内 12 起安全事件共造成超过 6.06 亿美元损失,相当于第一季度总损失的 3.7 倍。
4 月 1 日,Solana 生态永续合约协议 Drift Protocol 遭遇 2.85 亿美元攻击。攻击者自 2025 年秋季起通过社交工程渗透团队,在数月内与安全理事会成员建立信任,诱导对方预签多笔看似无害的交易,最终两笔操作、间隔一秒便完成权限转移并抽走流动性。
4 月 18 日,以太坊流动性再质押协议 KelpDAO 的 LayerZero 跨链桥被攻破,11.65 万枚 rsETH(约 2.92 亿美元)被盗。攻击者隶属朝鲜 Lazarus Group 的 TraderTraitor 子单元,被盗资金随后存入 Aave 等借贷平台借出约 1.9 亿美元真实资产,导致 Aave 产生超 1.23 亿美元坏账,引发 DeFi 整体 TVL 在 48 小时内蒸发超 130 亿美元。
此外,4 月下旬,多个小型协议不断出现安全事故,虽损失资金不大,但行业对于 DeFi 安全性信心已大打折扣。
一方面,朝鲜黑客从「技术攻坚」转向「人性渗透」。攻击链从伪造 Zoom 会议链接开始,而 AI 在社交工程中的实战应用也已落地。
另一方面,以 Anthropic 新模型 Mythos 为代表的顶级 AI 模型也成为改变攻防天平的新变量。该模型通用代码推理能力跃升,能够自主发现数千个零日漏洞,包括 OpenBSD 中潜伏 27 年的崩溃漏洞,并能将多个低级漏洞串联成完整攻击链。
更现实的威胁在于,当前 DeFi 生态中大量代码部署于现代代码推理模型出现之前,攻击者如今可借助 AI 工具以系统化、低成本方式扫描历史遗留配置缺陷,而防御方的 AI 审计工具尚未完成集成。这种”攻击者先用 AI,防御者后补票”的时间差,构成了当前最危险的窗口期。
