北京
奔跑財經4月22日消息,據DefiLlama數據統計,自2014年以來,至少有518起記錄在案的黑客攻擊事件席卷了交易所、DeFi協議、跨鏈橋和錢包,累計損失已悄悄突破170億美元大關。
盡管大規模鏈上攻擊的頻率已從2021-2022年的狂熱高峰放緩,但損失的結構正在發生深刻變化。
私鑰與社交工程成新靶心
早期DeFi攻擊大多依賴于智能合約漏洞和閃電貸邏輯缺陷。然而,安全專家向Cointelegraph指出,如今的攻擊者正越來越多地瞄準私人密鑰、簽名基礎設施和用戶設備。
安全公司預測,2026年將出現更多高級釣魚和AI輔助騙局,即使技術嫻熟的用戶也可能被誘騙簽署惡意交易或泄露助記詞。
跨鏈橋成“重災區”
在各類基礎設施中,跨鏈橋尤為脆弱。DefiLlama的數據顯示,在約118億美元的“總被黑價值”中,橋接攻擊貢獻了近30億美元。Ronin、Wormhole和Multichain等大型單一事件,為跨鏈風險定下了基調。
就在今年4月18日,攻擊者利用基于LayerZero的鏈接偽造了一條跨鏈消息,從而鑄造/釋放了116,500枚rsETH(一種“再質押”的以太坊衍生品)到其控制的地址。按當時價格計算,損失高達2.9億至2.93億美元,約占rsETH總供應量的18%,被彭博社等媒體稱為2026年迄今最大的DeFi攻擊事件。
此事迫使Kelp DAO暫停橋接服務,并與各大交易所緊急協調。
私鑰泄露危害遠超代碼bug
即便拋開頭條新聞級別的攻擊,日常的憑證泄露也在持續造成巨額損失。數據顯示,僅2026年第一季度,黑客就從34個DeFi協議中盜取了約1.686億美元。
其中最大的一筆,Step Finance被盜4000萬美元。其根源被追溯到私鑰泄露,而非純粹的代碼漏洞。這一趨勢表明,DeFi的智能合約安全正在逐步加固,而攻擊者的響應策略是向上游移動,瞄準連接錢包與協議之間的工具和人為流程。
警示
對于項目和用戶而言,代碼審計和形式化驗證是必要的,但遠遠不夠。
硬件密鑰、多簽方案、隔離的簽名設備、嚴格的密鑰管理策略以及不懈的防釣魚衛生習慣,如今對于保護加密資產的重要性,已堪比曾經的Gas優化和漏洞賞金。因為只需一個泄露的憑證,就足以在DefiLlama的黑客數據庫中添加另一行九位數的損失記錄。
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
