2026 年 4 月是有紀錄以來加密貨幣被駭金額最高的單月。DeFiLlama 資料顯示,30 天內至少 13 起 DeFi 協議遭攻擊,累計損失超過 6.3 億美元。光 Drift Protocol 和 KelpDAO 兩起就佔了全月損失的 92%,且均被資安機構指向北韓 Lazarus Group。從愚人節開場,到月底最後一天 Wasabi Protocol 被掏空 500 萬美元收尾,幾乎沒有一天是安全的。
(前情提要:Ledger CTO 警告:2026 是最糟駭客年, DeFi 單簽架構埋系統性危機)
(背景補充:Kelp DAO遭駭》Ethena、ether.fi 等 10+ DeFi 協議切斷 LayerZero 跨鏈橋連線)
AI 在我手,駭客滿地走,今年 4 月的 DeFi 像駭客逛後花園的紀錄,平均不到三天就來一次。包括管理員金鑰遭竊、跨鏈橋被劫持、整個協議 TVL 腰斬那種等級。
- 04/01|Drift Protocol|Solana|$2.85 億:攻擊者竊取管理員金鑰,偽造 CVT 代幣當抵押品,12 分鐘內抽走 TVL 過半。Lazarus Group 疑犯。2026 年度最大單筆攻擊。
- 04/12|Hyperbridge|$250 萬:跨鏈橋合約漏洞遭利用。
- 04/16|Rhea Finance|$1,840 萬:協議資金池遭未授權提領。
- 04/16|Grinex|$1,500 萬:同日第二起,交易平台資金被盜。
- 04/18|KelpDAO|Ethereum / LayerZero|$2.93 億:攻擊者劫持 RPC 節點,利用 1-of-1 驗證器配置注入假訊息,抽走 116,500 枚 rsETH(流通量 18%)。Lazarus Group 確認。AAVE TVL 單日蒸發 100 億美元。
- 04/20|ThetanutsFi|$5 萬:小額漏洞利用。
- 04/20|JuiceboxETH|Ethereum|$5.2 萬:同日第二起,合約漏洞。
- 04/21|Volo|Sui|$350 萬:Sui 鏈上協議資金遭盜。
- 04/25|Purrlend|$152 萬:借貸協議遭攻擊。
- 04/26|Scallop.io|$14.2 萬:小額漏洞利用。
- 04/27|ZetaChain|$33.4 萬:跨鏈協議遭利用。
- 04/29|AftermathFi|$114 萬:協議資金池遭異常提領。
- 04/30|Wasabi Protocol|ETH / Base / Blast / Berachain|超過 $500 萬:管理員金鑰遭竊,攻擊者自行授予管理許可權並將合約替換為惡意版本,同時掏空四條鏈。時間鎖設定為零。四月的最後一刀。
都變成金將軍的零用錢
4 月總計 6.3 億美元的損失中,Drift Protocol(2.85 億)和 KelpDAO(2.93 億)合計 5.78 億,佔比 92%。兩起攻擊手法不同,但資安機構 TRM Labs 和 Chainalysis 的鏈上追蹤都指向同個犯罪集團,北韓 Lazarus Group。
這兩起攻擊觸發了約 130 億美元的 DeFi 資金出逃,Ledger 技術長 Charles Guillemet 警告:「DeFi 的單簽架構埋了系統性危機,2026 極可能成為駭客最嚴重的一年。」
老協議最後一刀:Wasabi
Wasabi Protocol 在四月最後一天被攻破,但金額「只有」500 多萬美元,Wasabi 本身已經使用了支援時間鎖的存取控制框架,但把延遲設成了零,等於裝了保險箱但沒上鎖。
DeFi 之父 Andre Cronje 在 4 月說了一句話:「去中心化金融已死,現在全是營利企業。」
現在好像很難反駁他。
📍相關報導📍
北韓工程師滲透幣圈七年、40 個 DeFi 協議受害:Lazarus 外包給非朝籍人員,防禦策略已過期
DeFi 之父 Andre Cronje 斷言:去中心化金融已死,現全是營利企業!籲產業引進熔斷機制
北韓駭客遭反殺!ZachXBT 扒出內部支付伺服器資料:假工程師月賺百萬鎂、密碼竟是 123456
