2026年4月是加密貨幣歷史上遭受黑客攻擊事件最多的月份。
大約有 40 起獨立的盜竊案件,被盜金額約 6.51 億美元;平均每天發生多起案件。
如果你在鏈上任何地方有資金,那麼這封信你一定要讀。
我這麼做不是為了嚇唬你(其實,也許有點,但出發點是好的)。我這麼做主要是因為我覺得這些黑客攻擊的模式在好轉之前只會越來越糟,現在是時候主動保護你的資金了。
四月份發生了什麼
四月份雖然發生了四十多起襲擊事件,但其中兩起襲擊造成的損失幾乎全部來自這兩起,而且這兩起襲擊都與朝鮮的拉撒路組織有關。讓我們先來了解一下這兩起襲擊,然後再簡要回顧一下其他襲擊事件。
Drit Protocol(2.85億美元)
Drift是Solana上最大的永續合約交易所,總鎖定價值(TVL)約為5.5億美元。4月1日,攻擊者在12分鐘內盜走了2.85億美元,抹去了該協議一半以上的TVL。
這場陰謀始於2025年10月的一場大型加密貨幣會議。攻擊者偽裝成一家量化交易公司,花了六個月時間與Drift的貢獻者建立聯繫。他們擁有合法且專業的背景。為了讓一切看起來正常合法,他們甚至存入了超過100萬美元的自有資金。
他們通過社交工程手段取得信任後,利用Solana的一項名為“持久隨機數”(durable nonce)的功能,誘使Drift安全委員會成員在不知情的情況下預先簽署交易。持久隨機數允許你先簽署交易,稍後再執行,你可以把它想象成簽署一張空白支票。
4月1日,攻擊者執行了這些預先簽名的交易。兩筆相隔僅一秒的交易轉移了管理員控制權。他們將一種偽造代幣列入白名單,存入5億枚該代幣作為抵押,並提取了價值2.85億美元的真實資產。DRIFT代幣在數小時內暴跌42%, SOL當日下跌5.5%。
KelpDAO(2.92億美元)
KelpDAO 是以太坊上的一個流動性再質押協議。他們發行 rsETH,代表質押的ETH ,並通過 LayerZero 的橋接器在 20 多條鏈上流通。
4月18日,攻擊者憑空鑄造了116,500枚無擔保的rsETH,價值約2.92億美元。這約佔rsETH總供應量的18%,完全是憑空創造出來的。
此次攻擊利用了 KelpDAO 對 LayerZero 的配置漏洞。當您使用 LayerZero 跨鏈橋接代幣時,該協議會使用一種名為去中心化驗證網絡 (DVN) 的機制。DVN 的作用是監控源鏈,確認您在源鏈上銷燬了代幣,並通知目標鏈釋放另一端的代幣。LayerZero 的文檔指出,您應該配置至少兩個獨立的 DVN 來進行橋接,這樣任何一個 DVN 都無法單獨授權代幣釋放。簡而言之,就是“雙眼監控”。
KelpDAO並沒有這樣做。他們配置的橋接器採用的是1對1的DVN設置,即由一個驗證者擁有對3.92億美元託管資金的完全控制權。LayerZero在其集成清單中明確建議使用多DVN 。但KelpDAO出於某種原因(可能是出於傲慢)選擇了默認設置,並且從未更改過。
攻擊者通過攻擊 RPC 節點操縱了該 DVN,憑空生成了 116,500 個 rsETH。然後,他們按照現代黑客攻擊的慣用伎倆,將這些 rsETH 存入Aave平臺作為抵押品,並以此為抵押借入了真正的ETH 。
此次事件的後續影響可能比損失本身更為嚴重。Aave 在 48 小時內遭遇了 84 億美元的存款流出。整個 DeFi 領域的總鎖定價值 (TVL) 下降了超過 130 億美元。Morpho、Spark、Lido 和 Beefy 等借貸平臺暫停了部分業務。AAVEAave幣下跌了 17%,ZRO 下跌了 12%。
人們對 DeFi 的信任度過去和現在都處於歷史低位。
四月份完整的黑客攻擊清單
Drift 和 KelpDAO 事件佔據了各大媒體的頭條,但它們並非孤例。當月,業內發生了大約 40 起(沒錯,是 40 起,簡直難以置信!)獨立事件:
這些黑客攻擊究竟是什麼原因造成的?
大多數協議在審核合約方面都做得相當不錯,會反覆檢查以確保沒有漏洞,並且對自己的代碼感到相對安全。
但我認為輿論風向又開始轉變,智能合約仍然是一個徹頭徹尾的問題。而且,它們即將成為一個更大的問題。
進入神話
4月7日,Anthropic公司發佈了一款名為Claude Mythos Preview的新錶款。他們並未正式發售,甚至也沒有透露近期內會發售的計劃。
他們之所以沒有發佈,是因為它威力太大。
直接引用 Anthropic 的說法,Mythos 能夠發現並利用軟件漏洞,其能力“幾乎超越了除最頂尖的人類專家之外的所有人”。在短短几周的測試中,他們利用 Mythos 在所有主流操作系統和主流瀏覽器中發現了數千個零日漏洞。其中一些漏洞甚至存在了 27 年之久。這些漏洞自 20 世紀 90 年代末以來就一直存在,被所有曾經查看過代碼的安全研究人員忽略,而 Mythos 卻在短短几天內就將其找出來。
它還做出了一些據說讓 Anthropic 團隊感到震驚的事情。在一次測試中,它將四個不同的漏洞串聯起來,突破了自身的安全沙箱,獲得了互聯網訪問權限,並向負責實驗的研究人員發送電子郵件(順便一提,當時這位研究人員正坐在公園長椅上吃三明治,哈哈)。
因此,Anthropic並沒有公開發布Mythos,而是啟動了一個名為“Glasswing項目”的項目。他們將Mythos提供給了一小群合作伙伴,基本上都是科技界的巨頭:AWS、蘋果、微軟、谷歌、英偉達、摩根大通、思科、Palo Alto Networks、CrowdStrike、博通、Linux基金會等等。總共約有50家機構參與。
目標是利用 Mythos 在關鍵軟件中發現並修復漏洞,防止攻擊者獲得同等能力,為此,Anthropic 公司承諾提供 1 億美元的使用額度。
為什麼這對加密貨幣很重要
Mythos就像煤礦裡的金絲雀。
Anthropic公司對他們為何選擇開發Glasswing項目而非發佈Mythos模型一直相當坦誠。他們的論點是,無論是否發佈Mythos,這種能力都將在六到十八個月內出現在實際環境中。據報道,OpenAI也在開發類似的技術,而英國人工智能安全研究所已經對GPT-5.5進行了評估,並得出結論:它在特定任務上已經具備了 類似的網絡攻擊能力。開放權重/局部模型也在快速發展。
防守方需要搶佔先機。這正是Glasswing戰術的核心所在。
AWS、微軟和蘋果都參與了Glasswing項目。Linux基金會也參與了。你知道誰沒有參與Glasswing項目嗎?
你使用的每個 DeFi 協議。
因此,當 Mythos 級攻擊能力洩露到公共領域時(這種情況必然會發生,無論是通過開源模型追趕、模型權重竊取,還是通過破解閉源模型),第一批攻擊目標將恰恰是那些擁有最大價值且防禦資源最少的系統。換句話說,就是整個加密領域。
智能合約從設計之初就是開源的,這意味著任何人都可以閱讀它們,任何人都可以分叉它們,任何人都可以運行人工智能模型來查找漏洞。同一個模型如果能找到一個存在了27年的漏洞,那麼它也能找到大量存在了5年的DeFi合約,這些合約正等待著被利用。
當發現 DeFi 協議中的關鍵漏洞所需的時間從六個月縮短到六個小時時會發生什麼?答案很簡單:你會遭受更多黑客攻擊。
令人欣慰的是,用於查找漏洞的人工智能工具也能修復漏洞。審計公司已經在使用當前的前沿模型來輔助工作,如果您是協議團隊,您現在也可以(而且應該)在自己的代碼中運行這些工具。
但這一過渡過程需要時間,而且會充滿坎坷。未來12到18個月將是加密貨幣安全領域有史以來最危險的時期。
這對你意味著什麼
你使用的每個協議都存在攻擊面,而且這些攻擊面即將受到比以往任何時候都更加嚴格的掃描。這意味著作為用戶,你需要更加謹慎地選擇信任哪些協議來管理你的資金,以及信任多少。
說實話,我決定採取最徹底的措施。暫時撤出所有DeFi項目,直到我覺得安全為止。雖然我很不願意承認,但現在把錢存在銀行儲蓄賬戶裡,感覺真的是最安全的選擇。
加密貨幣仍處於早期階段,我仍然堅信DeFi的未來。但就目前而言,我認為風險過高,收益不足以彌補風險。
一次金額較大的黑客攻擊就可能抹去十多年的收益(甚至更多)。
那些能夠經受住這段時期考驗的協議,幾年後將會更加強大,並建立起更多的信任。
能夠挺過這段時期的用戶,一定是那些認真對待自身安全的用戶。
最後想說的
我最初寫這封信是因為想談談四月份的黑客攻擊事件,並提醒大家人工智能的危險性。但隨著我深入研究,我越來越意識到四月份的數據幾乎只是滯後指標。它們仍然以老套路為主,社交工程攻擊佔據了被盜資金的大部分,而數量日益增多的智能合約攻擊則像是煤礦裡的金絲雀,預示著未來可能發生的更嚴重的問題。
下一波浪潮將會截然不同。人工智能驅動的漏洞發現將以前所未有的規模進行,其發現代碼級漏洞的速度甚至超過協議修復漏洞的速度。Mythos 已經向我們展示了未來的趨勢,而 Anthropic 試圖通過設置准入門檻來履行其應盡的職責,但這未必對我們有利。這或許對全球最大的科技公司有利,但對大多數 DeFi 參與者來說卻收效甚微。
我強烈建議您在本週抽出一個小時(最好是今天)來審核您所有的鏈上資產以及您在任何協議中的所有資金,並認真考慮將這些資金提取出來並存放在冷存儲中。
我希望最後能說些更令人振奮的話,但說實話,加密貨幣安全在變得容易之前會變得更加困難。
祝你好運,一路順風,一如既往,感謝您的閱讀。
免責聲明:本簡訊內容不構成投資建議。本人並非財務顧問,以上僅代表個人觀點和想法。在交易或投資任何加密貨幣相關產品之前,您務必諮詢專業/持牌財務顧問。文中部分鏈接可能為推薦鏈接。
