根据DefiLlama和PeckShield最新数据,4月截至4月18日,短短18天内已有12起重大黑客事件,总损失超过6.06亿美元,直接把Q1全季度损失(1.65亿刀)甩了3.7倍远,成为2025年2月以来最惨的一个月
4月1日 Drift Protocol(Solana最大永续DEX) 被盗 2.85亿美元
4月18-19日 Kelp DAO(液态重质押协议) 被盗 2.93亿美元
两单加起来就快6亿刀了!Aave等大协议TVL瞬间被用户恐慌挤兑6.6亿刀,稳定币收益率暴跌,市场直接进入“信任危机模式”
两大黑客事件复盘
Drift Protocol(4月1日,2.85亿刀)
-攻击者通过6个月长期社会工程 + 多签权限劫持完成操作
-先用假身份渗透团队,获取管理员私钥/多签权限
-利用Solana的“durable nonce”预签名交易特性,绕过常规审计
-12分钟内把协议金库清空50%以上TVL
-链上追踪显示,攻击极大概率来自朝鲜Lazarus集团
Kelp DAO(4月18日,2.93亿刀)
-核心漏洞:LayerZero跨链桥1-of-1验证器配置(只用一个节点验证消息)
-黑客通过DDoS + RPC节点感染,伪造跨链消息
-直接释放11.65万枚rsETH(占流通量18%),价值2.93亿刀
LayerZero官方已把锅甩给Kelp“配置错误”,但本质还是跨链桥这个DeFi老大难问题再次爆发。Arbitrum安全委员会紧急冻结了其中7100万刀ETH,算是救回了一部分。
其他小事件(累计超3000万刀):Silo Finance、Aethir、CoW Swap、Grinex等,漏洞类型五花八门——预言机、访问控制、域名劫持、假合约……
DeFi安全防坑指南
硬件钱包 + 多签必备:Ledger/Trezor + Gnosis Safe,私钥永不联网。
无限授权秒撤销:用1inch / Revoke.cash每周检查并撤销所有合约授权。
绝不用“搜索广告”进官网:永远手动输入或书签,假官网钓鱼太多!
日常操作注意事项
小额测试 + 分散资产:大额资金别全放一个协议,跨链前先转0.01刀测试
只用经过多审计 + Bug Bounty的项目:看DefiLlama安全评分 + PeckShield/CertiK报告
避免高风险操作:别点不明Discord/Telegram链接,别信“空投”“翻倍”私信
开启所有安全功能:钱包交易模拟(Wallet Guard / Revoke)、2FA、生物识别