两大 DeFi 骇客窃案引发 130 亿美元逃难，我们学到哪些教训？

北韩骇客发动开场战，Drift 与 Lazarus 的漫长博弈

2026 年 4 月成为去中心化金融（DeFi）史上极其沉重的月份。在短短 18 天内，整体生态系因各类骇客攻击与漏洞损失超过 6.06 亿美元。这波灾难始于 4 月 1 日，当时 Solana 生态内领先的永续合约交易所 Drift Protocol 在 12 分钟内遭洗劫约 2.85 亿美元。虽然许多投资人初次闻讯时以为是愚人节恶作剧，但随后发生的资产归零却是真实的金融灾难。

• 相关新闻：渗透 6 个月、 10 秒洗劫 2.8 亿美元！北韩骇客如何攻破 DeFi 协议 Drift？

这次攻击源于长达半年的社交工程渗透，骇客避开了严密的智能合约审计。根据调查，北韩 Lazarus 集团（又名 UNC4736）成员伪造身分、透过线下会议接头，并针对开发者个人设备植入恶意软体，最终成功取得 Drift 贡献者群体的信任。骇客利用获取的管理权限与预签署的非即时交易（Durable Nonce Transactions）清空多个金库，夺走 $USDC 、 $WETH 与 $JLP 等资产。这场事件揭示了 DeFi 系统中最难防范的人为风险。即使链上安全严密，若线下的管理流程失守，多签钱包治理机制亦会丧失防御功能。

跨链桥防线崩溃，Kelp DAO 与虚拟代币的致命一击

在 Drift 事件发生 12 天后，Hyperbridge 跨链协议于 4 月 13 日遭到攻击。虽然 250 万的损失规模较小，却暴露了跨链消息验证逻辑的结构性缺陷。骇客利用 Merkle Mountain Range（MMR）证明验证中的边界检查缺失，伪造跨链消息并凭空铸造 10 亿枚虚拟 DOT 。讽刺的是，该协议曾于两周前宣称具备极高安全性。这场前哨战随后引发了 4 月 18 日更为严重的风暴：Kelp DAO 旗下的流动性再质押代币（LRT）$rsETH 遭到重创。

• 相关新闻：DeFi 震撼弹：Kelp DAO 跨链桥遭骇，损失近 3 亿美元并波及多个借贷协议

攻击者锁定 LayerZero V2 驱动的跨链桥，结合 RPC 节点渗透与 DDoS 攻击，并利用配置不当的单一验证者网路（DVN）伪造消息。骇客在未进行真实销毁的情况下，诱使协议发行 11.65 万枚 $rsETH，价值约 2.92 亿，占该代币总供应量的 18% 。这批缺乏抵押支持的 rsETH 随即被当作担保品存入 Aave V3 与 Compound 等借贷平台，进而借走约 2.36 亿的 $WETH 等主流资产。同日，ENS 闸道器 eth.limo 亦发生 DNS 劫持事件，骇客透过骗过域名注册商取得控制权。这两起同步发生的事件再度证明，Web3 的基础设施与链上程式码同样容易成为攻击目标。

十三亿杠杆循环崩解，Aave 面临资金出逃与坏帐挑战

Kelp DAO 的 $rsETH 担保品滥用案迅速演变为系统性金融危机。作为 DeFi 规模最大的借贷市场，Aave 在事故发生前拥有超过 200 亿至 260 亿的总锁仓量（TVL），但大量 rsETH 在此作为抵押品被用于「循环借贷」策略。使用者存入 LRT 、借出以太币 、兑换更多 LRT 再存入，这种杠杆行为在市场波动时触发了剧烈的去杠杆反应。数据显示，Aave 面临的坏帐估计落在 1.24 亿至 2.3 亿之间，且核心市场如 $USDT 、 $USDC 与 $WETH 的利用率飙升至 100%，引发提款瓶颈。

在短短 48 小时内，超过 60 亿资金逃离 Aave，整体 DeFi 市场的 TVL 更是蒸发 130 亿。尽管 Aave 的协议守护者果断冻结所有 rsETH 储备并将贷款价值比（LTV）设为零，仍难阻挡资金流向更保守的协议。 Spark 协议的 TVL 在周末期间从 18 亿成长至 29 亿，显示资金正在进行风险重分配。这场逃难潮反映出 DeFi 收益环境的变化。

当 Aave 的 USDC 存款年化收益率降至 2.61%，低于传统金融机构盈透证券（Interactive Brokers）提供的 3.14% 时，使用者承担智能合约风险的动力大幅下降，任何安全疑虑都足以让杠杆资金瞬间溃散。

紧急干预与灾后重建，去中心化理想的现实妥协

面对严重的月度损失，DeFi 产业被迫在去中心化理想与生存之间做出选择。 4 月 21 日，Arbitrum 安全委员会介入干预，利用紧急权力执行升级，冻结攻击者在 Arbitrum One 上拥有的 3.07 万枚以太币（约 7,100 万），并移至治理控制钱包。

此举虽然获得社群赞许，但也引发关于 L2 平台受多签钱包控制的争论。紧接著在 4 月 23 日，Tether 配合执法部门要求，冻结 Tron 链上与非法活动相关的 3.44 亿 $USDT，这项动作显示监管机构正加强对稳定币的控制力。

• 相关新闻：波场链 3.44 亿镁 USDT 被冻！Tether 配合执法机构，封锁规避制裁地址

目前 Aave 已成功筹集约 2.43 亿美元，接近弥补坏帐所需的 2 亿目标，其中 Mantle 与 Aave DAO 贡献了主要资金。 Kelp DAO 则在各界压力下寻求社会化损失或后台支持方案。 4 月发生的灾难成为 DeFi 转型的契机，开发者开始转向多方计算（MPC）钱包、 ZK 技术驱动的跨链桥以及更具防御性的验证体系。

• 相关新闻：Aave 救援行动「DeFi United」募得 3 亿美元，Consensys 带头捐 3 万枚以太币

黑色 4 月提醒所有参与者，在追求收益的同时必须考量组合性风险。安全、去中心化与可用性必须同步演进，否则技术创新的成果将面临严峻挑战。