#DeFiLossesTop600MInApril

2026年4月最近一波DeFi攻击再次点燃了关于“可组合性”的激烈辩论。虽然协议像乐高积木一样相互连接的能力是DeFi最大的优势，但它也有效地创建了一个全球攻击面，一次漏洞就可能引发多链多米诺效应。

4月的数字确实令人震惊，主要由归因于朝鲜威胁行为者的两次复杂操作推动。

四月“头两大事件”

“仅这两起事件的总损失就超过了5.7亿美元，约占2026年前四个月所有加密货币黑客价值的76%。

Kelp DAO ~$292M 4月18日 基础设施被破坏：攻击者接管RPC节点，向桥接验证器提供虚假数据，触发rsETH的释放而没有实际销毁。

Drift Protocol ~$285M 4月1日 社会工程：攻击者花了6个月假扮量化公司以获取信任，然后破坏管理员密钥，操纵抵押品价值。

补救措施：Arbitrum干预

在Kelp DAO被攻破后，Arbitrum DAO采取了前所未有的措施。

DAO正以几乎一致的支持投票，释放30,765 ETH（约7100万美元），这些资金已被Arbitrum安全委员会成功“冻结”，当时攻击者试图桥接这些资金。

这些资金正被转移到由Kelp DAO、Aave Labs和etherfi管理的多签钱包中。

这笔ETH将用于回购并销毁抵押不足的rsETH，以恢复其挂钩，曾一度比ETH价值低20%。

可组合性是否正变成“可攻击性”？

我们正看到从“代码即法律”向“管道即法律”的转变。现代的攻击不再仅仅是智能合约漏洞，而是转向生态系统的连接组织：

对Solana的Drift攻击在12分钟内将被盗资产桥接到以太坊，显示出快速退出是攻击者的最佳策略。

像Kelp DAO这样的协议依赖外部消息，第三方“服务提供商”的失败可能使本已安全的协议破产。

Drift的漏洞不是代码缺陷，而是对管理代码人员的6个月“长线骗局”。

虽然“DeFi联合会”（涉及Aave和Mantle的救援基金）和DAO干预显示行业在增强防御深度方面正在成熟，但使DeFi高效的“可组合性”也为被盗资金跨链转移提供了无摩擦的高速公路，远远快于人类治理的反应速度。
‍$ETH $SOL $ARB