2026年第二季度的加密黑客事件已創下新紀錄——攻擊者變得更快、更聰明,且更難以阻止
2026年頭四個月就盜走了10億美元。在一個季度內發生了83起獨立攻擊。而且有一起黑客攻擊在不到10秒內完全執行。這就是2026年加密安全的真實狀態。
定義這一危機的數字
根據DefiLlama的數據,2026年第二季度已成爲加密攻擊者活動最頻繁的時期——記錄了83起獨立事件,超過了之前所有季度的攻擊頻率紀錄。(比特幣基金會)
僅在 2026 年前四個月,就有超過 10 億美元因 DeFi 攻擊而損失——其中 KelpDAO 的 2.92 億美元漏洞利用,目前是今年最大的單一 DeFi 詐損。(Benzinga)
僅 2026 年 4 月一個月就被竊走 6.4167 億美元——創下 2026 年最高月度總額,也是自 Bybit 事件以來最大規模之一;僅靠三起重大駭入事件,就占了 4 月總損失的 93% 以上。(Congress.gov)
截至目前為止 2026 年最大的五起打擊事件
◆ KelpDAO — 2.93 億美元:攻擊者利用 LayerZero(跨鏈通訊層)的漏洞,竊取了約 116,500 枚 rsETH——並導致約 18% 的 rsETH 總供應量被釋放。攻擊者完成對其錢包的完整合併只花了不到 2 小時。資金追蹤顯示,這些資金流向與 Bybit 駭入洗錢作業相關聯的錢包。(Congress.gov)
◆ Drift Protocol — 2.85 億美元:今年最大規模的 DeFi 漏洞利用同時結合了多個失效環節。Lazarus Group——北韓的國家資助駭客單位——已被正式連結到這次攻擊。(Benzinga)
◆ 1 月 16 日釣魚攻擊 — 2.84 億美元:一名投資人落入騙徒假扮 Trezor 官方客服的詐騙陷阱。在攻擊者的引導下,受害者透露了其錢包復原用的種子短語,損失了 1,459 枚 BTC 與 205 萬枚 LTC。被竊資金立刻轉換成 Monero,導致其價格飆升。(Chapman and Cutler LLP)
◆ Resolv Labs — 2,500 萬美元:駭客利用該專案的 AWS 金鑰管理服務(KMS)中的弱點,取得未授權的雲端存取權,並鑄造了約 8,000 萬枚未獲抵押的穩定幣代幣——引發脫鉤,並在同一時間於 Morpho Blue、Euler 與 Fluid 等協議之間連鎖造成壞帳。(Fxdailyreport)
◆ Humanity Protocol — 3,600 萬美元:在 2026 年 6 月的本月較早時段就曾損失 3,600 萬美元,加入了不斷湧現且看不到減速跡象的 2026 年第二季(Q2)攻擊浪潮。(Bitcoin Foundation)
北韓因素——加密領域最危險的威脅
Chainalysis 的 2026 年加密犯罪報告記錄:2025 年全年被竊取 34 億美元——其中僅與北韓有關的行動者就負責 20.2 億美元,占全年所有服務遭入侵的 76%。北韓至今的累計加密竊盜金額已達 67.5 億美元。(Invest Offshore)
威脅本質已經根本演變。與北韓關聯的資深作惡者不再只是利用程式碼——他們正在破壞加密服務的運作根基:私鑰、錢包、簽署基礎設施,以及掌控這些系統的人。(CryptoNews.com)
有史以來首次,最大規模駭入(最大黑客事件)與中位數事件之間的比值已跨越 1,000 倍門檻——意味著如今最大攻擊規模已是典型事件的 1,000 倍,甚至超過 2021 年牛市高峰。(Invest Offshore)
跨鏈橋:DeFi 中最危險的基礎建設
跨鏈橋(Cross-chain bridges)成為 2026 年第二季(Q2 2026)最大的損失來源:僅來自與橋相關的攻擊,便約遭竊 3.51 億美元。導致 KelpDAO 事件的 LayerZero OFT 橋漏洞,佔所有 2026 年第二季遭竊資金的超過 38%。(Bitcoin Foundation)
遭竊的管理員攻擊與假冒代幣價格操縱計畫又造成了額外 37% 的損失;而私鑰遭破解占 5.66%——證實了:如今造成人為與基礎設施脆弱性的因素,已遠遠超過單純智慧合約程式碼漏洞,成為主要攻擊途徑。(Bitcoin Foundation)
沒人談論的詐欺層(Fraud Layer)
除了直接的駭入之外,FBI 的 2025 年《網際網路犯罪報告》(Internet Crime Report)中記錄:加密相關詐欺累計達 113.66 億美元,涵蓋 181,565 起投訴——年增 22%。其中,來自「豬肉分割式」(pig-butchering)投資詐欺的金額為 72.28 億美元;而在受害者年齡層方面,有 44 億美元集中在 60 歲以上受害者。(Invest Offshore)
個人現在必須做的事
◆ 切勿以數位方式保存你的種子短語——不要放在 Google 文件、iCloud 記事、截圖或電子郵件草稿中。一旦雲端遭入侵,整體就會全毀
◆ 定期撤銷無上限的代幣授權——使用 Revoke.cash 等工具,稽核哪些智慧合約能從你的錢包中花用資金
◆ 以獨立方式逐一確認——1 月那起 2.84 億美元的釣魚攻擊之所以發生,是因為有人相信了一通電話。請只透過官方網站確認客服聯絡方式
◆ 對於重要持倉使用硬體錢包——但要理解:就算是冷錢包,如果簽署流程遭到破壞,也並非完全免疫;Bybit 的規模(15 億美元)已證明了這一點
◆ 理解「影子傳染」(shadow contagion)——一個協議遭到突破後,會立刻連鎖擴散到相互連結的 DeFi 平台,並在整個生態系中造成跨平台的壞帳,而這些生態圈與原始漏洞利用事件毫無關係(Fxdailyreport)
令人不安的真相
2026 年第二季(Q2 2026)的數據顯示,網路犯罪分子越來越傾向選擇規模較小、但更頻繁的攻擊,而不是仰賴偶發的超大型攻擊——也就是說,與其準備面對偶爾發生的、十億美元級的爆發式損害,協議現在正面臨近乎持續的入侵洪流,而業界目前的資安做法顯然跟不上節奏。(Bitcoin Foundation)
截至 2026 年第二季(Q2 2026)已發生 83 起駭入、北韓累計竊走 67.5 億美元加密資產,且還有 2.84 億美元可在一次電話指令下完成的竊取——你認為加密產業正在輸掉資安戰,還是更好的工具與法規終於足以改變結局?
#CryptoSecurity #cryptohacks #DeFiSecurity #BlockchainSafety #CryptoNews
