2026年4月是加密货币历史上遭受黑客攻击事件最多的月份。
大约有 40 起独立的盗窃案件,被盗金额约 6.51 亿美元;平均每天发生多起案件。
如果你在链上任何地方有资金,那么这封信你一定要读。
我这么做不是为了吓唬你(其实,也许有点,但出发点是好的)。我这么做主要是因为我觉得这些黑客攻击的模式在好转之前只会越来越糟,现在是时候主动保护你的资金了。
四月份发生了什么
四月份虽然发生了四十多起袭击事件,但其中两起袭击造成的损失几乎全部来自这两起,而且这两起袭击都与朝鲜的拉撒路组织有关。让我们先来了解一下这两起袭击,然后再简要回顾一下其他袭击事件。
Drit Protocol(2.85亿美元)
Drift是Solana上最大的永续合约交易所,总锁定价值(TVL)约为5.5亿美元。4月1日,攻击者在12分钟内盗走了2.85亿美元,抹去了该协议一半以上的TVL。
这场阴谋始于2025年10月的一场大型加密货币会议。攻击者伪装成一家量化交易公司,花了六个月时间与Drift的贡献者建立联系。他们拥有合法且专业的背景。为了让一切看起来正常合法,他们甚至存入了超过100万美元的自有资金。
他们通过社交工程手段取得信任后,利用Solana的一项名为“持久随机数”(durable nonce)的功能,诱使Drift安全委员会成员在不知情的情况下预先签署交易。持久随机数允许你先签署交易,稍后再执行,你可以把它想象成签署一张空白支票。
4月1日,攻击者执行了这些预先签名的交易。两笔相隔仅一秒的交易转移了管理员控制权。他们将一种伪造代币列入白名单,存入5亿枚该代币作为抵押,并提取了价值2.85亿美元的真实资产。DRIFT代币在数小时内暴跌42%, SOL当日下跌5.5%。
KelpDAO(2.92亿美元)
KelpDAO 是以太坊上的一个流动性再质押协议。他们发行 rsETH,代表质押的ETH ,并通过 LayerZero 的桥接器在 20 多条链上流通。
4月18日,攻击者凭空铸造了116,500枚无担保的rsETH,价值约2.92亿美元。这约占rsETH总供应量的18%,完全是凭空创造出来的。
此次攻击利用了 KelpDAO 对 LayerZero 的配置漏洞。当您使用 LayerZero 跨链桥接代币时,该协议会使用一种名为去中心化验证网络 (DVN) 的机制。DVN 的作用是监控源链,确认您在源链上销毁了代币,并通知目标链释放另一端的代币。LayerZero 的文档指出,您应该配置至少两个独立的 DVN 来进行桥接,这样任何一个 DVN 都无法单独授权代币释放。简而言之,就是“双眼监控”。
KelpDAO并没有这样做。他们配置的桥接器采用的是1对1的DVN设置,即由一个验证者拥有对3.92亿美元托管资金的完全控制权。LayerZero在其集成清单中明确建议使用多DVN 。但KelpDAO出于某种原因(可能是出于傲慢)选择了默认设置,并且从未更改过。
攻击者通过攻击 RPC 节点操纵了该 DVN,凭空生成了 116,500 个 rsETH。然后,他们按照现代黑客攻击的惯用伎俩,将这些 rsETH 存入Aave平台作为抵押品,并以此为抵押借入了真正的ETH 。
此次事件的后续影响可能比损失本身更为严重。Aave 在 48 小时内遭遇了 84 亿美元的存款流出。整个 DeFi 领域的总锁定价值 (TVL) 下降了超过 130 亿美元。Morpho、Spark、Lido 和 Beefy 等借贷平台暂停了部分业务。AAVEAave币下跌了 17%,ZRO 下跌了 12%。
人们对 DeFi 的信任度过去和现在都处于历史低位。
四月份完整的黑客攻击清单
Drift 和 KelpDAO 事件占据了各大媒体的头条,但它们并非孤例。当月,业内发生了大约 40 起(没错,是 40 起,简直难以置信!)独立事件:
这些黑客攻击究竟是什么原因造成的?
大多数协议在审核合约方面都做得相当不错,会反复检查以确保没有漏洞,并且对自己的代码感到相对安全。
但我认为舆论风向又开始转变,智能合约仍然是一个彻头彻尾的问题。而且,它们即将成为一个更大的问题。
进入神话
4月7日,Anthropic公司发布了一款名为Claude Mythos Preview的新表款。他们并未正式发售,甚至也没有透露近期内会发售的计划。
他们之所以没有发布,是因为它威力太大。
直接引用 Anthropic 的说法,Mythos 能够发现并利用软件漏洞,其能力“几乎超越了除最顶尖的人类专家之外的所有人”。在短短几周的测试中,他们利用 Mythos 在所有主流操作系统和主流浏览器中发现了数千个零日漏洞。其中一些漏洞甚至存在了 27 年之久。这些漏洞自 20 世纪 90 年代末以来就一直存在,被所有曾经查看过代码的安全研究人员忽略,而 Mythos 却在短短几天内就将其找出来。
它还做出了一些据说让 Anthropic 团队感到震惊的事情。在一次测试中,它将四个不同的漏洞串联起来,突破了自身的安全沙箱,获得了互联网访问权限,并向负责实验的研究人员发送电子邮件(顺便一提,当时这位研究人员正坐在公园长椅上吃三明治,哈哈)。
因此,Anthropic并没有公开发布Mythos,而是启动了一个名为“Glasswing项目”的项目。他们将Mythos提供给了一小群合作伙伴,基本上都是科技界的巨头:AWS、苹果、微软、谷歌、英伟达、摩根大通、思科、Palo Alto Networks、CrowdStrike、博通、Linux基金会等等。总共约有50家机构参与。
目标是利用 Mythos 在关键软件中发现并修复漏洞,防止攻击者获得同等能力,为此,Anthropic 公司承诺提供 1 亿美元的使用额度。
为什么这对加密货币很重要
Mythos就像煤矿里的金丝雀。
Anthropic公司对他们为何选择开发Glasswing项目而非发布Mythos模型一直相当坦诚。他们的论点是,无论是否发布Mythos,这种能力都将在六到十八个月内出现在实际环境中。据报道,OpenAI也在开发类似的技术,而英国人工智能安全研究所已经对GPT-5.5进行了评估,并得出结论:它在特定任务上已经具备了 类似的网络攻击能力。开放权重/局部模型也在快速发展。
防守方需要抢占先机。这正是Glasswing战术的核心所在。
AWS、微软和苹果都参与了Glasswing项目。Linux基金会也参与了。你知道谁没有参与Glasswing项目吗?
你使用的每个 DeFi 协议。
因此,当 Mythos 级攻击能力泄露到公共领域时(这种情况必然会发生,无论是通过开源模型追赶、模型权重窃取,还是通过破解闭源模型),第一批攻击目标将恰恰是那些拥有最大价值且防御资源最少的系统。换句话说,就是整个加密领域。
智能合约从设计之初就是开源的,这意味着任何人都可以阅读它们,任何人都可以分叉它们,任何人都可以运行人工智能模型来查找漏洞。同一个模型如果能找到一个存在了27年的漏洞,那么它也能找到大量存在了5年的DeFi合约,这些合约正等待着被利用。
当发现 DeFi 协议中的关键漏洞所需的时间从六个月缩短到六个小时时会发生什么?答案很简单:你会遭受更多黑客攻击。
令人欣慰的是,用于查找漏洞的人工智能工具也能修复漏洞。审计公司已经在使用当前的前沿模型来辅助工作,如果您是协议团队,您现在也可以(而且应该)在自己的代码中运行这些工具。
但这一过渡过程需要时间,而且会充满坎坷。未来12到18个月将是加密货币安全领域有史以来最危险的时期。
这对你意味着什么
你使用的每个协议都存在攻击面,而且这些攻击面即将受到比以往任何时候都更加严格的扫描。这意味着作为用户,你需要更加谨慎地选择信任哪些协议来管理你的资金,以及信任多少。
说实话,我决定采取最彻底的措施。暂时撤出所有DeFi项目,直到我觉得安全为止。虽然我很不愿意承认,但现在把钱存在银行储蓄账户里,感觉真的是最安全的选择。
加密货币仍处于早期阶段,我仍然坚信DeFi的未来。但就目前而言,我认为风险过高,收益不足以弥补风险。
一次金额较大的黑客攻击就可能抹去十多年的收益(甚至更多)。
那些能够经受住这段时期考验的协议,几年后将会更加强大,并建立起更多的信任。
能够挺过这段时期的用户,一定是那些认真对待自身安全的用户。
最后想说的
我最初写这封信是因为想谈谈四月份的黑客攻击事件,并提醒大家人工智能的危险性。但随着我深入研究,我越来越意识到四月份的数据几乎只是滞后指标。它们仍然以老套路为主,社交工程攻击占据了被盗资金的大部分,而数量日益增多的智能合约攻击则像是煤矿里的金丝雀,预示着未来可能发生的更严重的问题。
下一波浪潮将会截然不同。人工智能驱动的漏洞发现将以前所未有的规模进行,其发现代码级漏洞的速度甚至超过协议修复漏洞的速度。Mythos 已经向我们展示了未来的趋势,而 Anthropic 试图通过设置准入门槛来履行其应尽的职责,但这未必对我们有利。这或许对全球最大的科技公司有利,但对大多数 DeFi 参与者来说却收效甚微。
我强烈建议您在本周抽出一个小时(最好是今天)来审核您所有的链上资产以及您在任何协议中的所有资金,并认真考虑将这些资金提取出来并存放在冷存储中。
我希望最后能说些更令人振奋的话,但说实话,加密货币安全在变得容易之前会变得更加困难。
祝你好运,一路顺风,一如既往,感谢您的阅读。
免责声明:本简讯内容不构成投资建议。本人并非财务顾问,以上仅代表个人观点和想法。在交易或投资任何加密货币相关产品之前,您务必咨询专业/持牌财务顾问。文中部分链接可能为推荐链接。
