作者:Fenrir,加密城市
北韓駭客發動開場戰,Drift 與 Lazarus 的漫長博弈
2026 年 4 月成為去中心化金融(DeFi)史上極其沉重的月份。在短短 18 天內,整體生態系因各類駭客攻擊與漏洞損失超過 6.06 億美元。這波災難始於 4 月 1 日,當時 Solana 生態內領先的永續合約交易所 Drift Protocol 在 12 分鐘內遭洗劫約 2.85 億美元。雖然許多投資人初次聞訊時以為是愚人節惡作劇,但隨後發生的資產歸零卻是真實的金融災難。
這次攻擊源於長達半年的社交工程滲透,駭客避開了嚴密的智能合約審計。根據調查,北韓 Lazarus 集團(又名 UNC4736)成員偽造身分、透過線下會議接頭,並針對開發者個人設備植入惡意軟體,最終成功取得 Drift 貢獻者群體的信任。駭客利用獲取的管理權限與預簽署的非即時交易(Durable Nonce Transactions)清空多個金庫,奪走 $USDC 、 $WETH 與 $JLP 等資產。這場事件揭示了 DeFi 系統中最難防範的人為風險。即使鏈上安全嚴密,若線下的管理流程失守,多簽錢包治理機制亦會喪失防禦功能。
跨鏈橋防線崩潰,Kelp DAO 與虛擬代幣的致命一擊
在 Drift 事件發生 12 天後,Hyperbridge 跨鏈協議於 4 月 13 日遭到攻擊。雖然 250 萬的損失規模較小,卻暴露了跨鏈消息驗證邏輯的結構性缺陷。駭客利用 Merkle Mountain Range(MMR)證明驗證中的邊界檢查缺失,偽造跨鏈消息並憑空鑄造 10 億枚虛擬 DOT 。諷刺的是,該協議曾於兩週前宣稱具備極高安全性。這場前哨戰隨後引發了 4 月 18 日更為嚴重的風暴:Kelp DAO 旗下的流動性再質押代幣(LRT)$rsETH 遭到重創。
攻擊者鎖定 LayerZero V2 驅動的跨鏈橋,結合 RPC 節點滲透與 DDoS 攻擊,並利用配置不當的單一驗證者網路(DVN)偽造消息。駭客在未進行真實銷毀的情況下,誘使協議發行 11.65 萬枚 $rsETH,價值約 2.92 億,佔該代幣總供應量的 18% 。這批缺乏抵押支持的 rsETH 隨即被當作擔保品存入 Aave V3 與 Compound 等借貸平台,進而借走約 2.36 億的 $WETH 等主流資產。同日,ENS 閘道器 eth.limo 亦發生 DNS 劫持事件,駭客透過騙過域名註冊商取得控制權。這兩起同步發生的事件再度證明,Web3 的基礎設施與鏈上程式碼同樣容易成為攻擊目標。
十三億槓桿循環崩解,Aave 面臨資金出逃與壞帳挑戰
Kelp DAO 的 $rsETH 擔保品濫用案迅速演變為系統性金融危機。作為 DeFi 規模最大的借貸市場,Aave 在事故發生前擁有超過 200 億至 260 億的總鎖倉量(TVL),但大量 rsETH 在此作為抵押品被用於「循環借貸」策略。使用者存入 LRT 、借出以太幣 、兌換更多 LRT 再存入,這種槓桿行為在市場波動時觸發了劇烈的去槓桿反應。數據顯示,Aave 面臨的壞帳估計落在 1.24 億至 2.3 億之間,且核心市場如 $USDT 、 $USDC 與 $WETH 的利用率飆升至 100%,引發提款瓶頸。
在短短 48 小時內,超過 60 億資金逃離 Aave,整體 DeFi 市場的 TVL 更是蒸發 130 億。儘管 Aave 的協議守護者果斷凍結所有 rsETH 儲備並將貸款價值比(LTV)設為零,仍難阻擋資金流向更保守的協議。 Spark 協議的 TVL 在週末期間從 18 億成長至 29 億,顯示資金正在進行風險重分配。這場逃難潮反映出 DeFi 收益環境的變化。
當 Aave 的 USDC 存款年化收益率降至 2.61%,低於傳統金融機構盈透證券(Interactive Brokers)提供的 3.14% 時,使用者承擔智能合約風險的動力大幅下降,任何安全疑慮都足以讓槓桿資金瞬間潰散。
緊急干預與災後重建,去中心化理想的現實妥協
面對嚴重的月度損失,DeFi 產業被迫在去中心化理想與生存之間做出選擇。 4 月 21 日,Arbitrum 安全委員會介入干預,利用緊急權力執行升級,凍結攻擊者在 Arbitrum One 上擁有的 3.07 萬枚以太幣(約 7,100 萬),並移至治理控制錢包。
此舉雖然獲得社群讚許,但也引發關於 L2 平台受多簽錢包控制的爭論。緊接著在 4 月 23 日,Tether 配合執法部門要求,凍結 Tron 鏈上與非法活動相關的 3.44 億 $USDT,這項動作顯示監管機構正加強對穩定幣的控制力。
目前 Aave 已成功籌集約 2.43 億美元,接近彌補壞帳所需的 2 億目標,其中 Mantle 與 Aave DAO 貢獻了主要資金。 Kelp DAO 則在各界壓力下尋求社會化損失或後台支持方案。 4 月發生的災難成為 DeFi 轉型的契機,開發者開始轉向多方計算(MPC)錢包、 ZK 技術驅動的跨鏈橋以及更具防禦性的驗證體系。
黑色 4 月提醒所有參與者,在追求收益的同時必須考量組合性風險。安全、去中心化與可用性必須同步演進,否則技術創新的成果將面臨嚴峻挑戰。
(以上內容獲合作夥伴《加密城市》授權節錄及轉載,原文連結 )
免責聲明:本文只為提供市場訊息,所有內容及觀點僅供參考,不構成投資建議,不代表區塊客觀點和立場。投資者應自行決策與交易,對投資者交易形成的直接或間接損失,作者及區塊客將不承擔任何責任。
