DeFi, 這是最危險的時刻: 真正的洞不在密碼中
作者 :達科监督办
2026年4月1日 UTC時間16:05:18漂流协议交易已提交。 過了一秒 另一個交易被批准 12分鐘后,2.85億美元失蹤 17天后凱爾普道於48小時內從Aave流出85億美元, 12天後,一名拿著偷來的部署鑰匙的襲擊者從瓦薩比協議中拿走了450萬美金。
這些事件都不是由智慧的合同漏洞造成的。
DeFi 半年來一直相信安全性是個密碼問題。 審查、正式化、漏水支付。 數學是法律。2026年,4月是公眾眼中前提坍塌的月份。總共有30個單月事件被偷超过6.25億美元, 根據DefiLlama, 加密史上以事件數量計數最黑的月份。
這是關于移民 我們將將三起嚴重的黑客事件 降為四月底的三個失敗面孔 以及一包協議的錯誤跨鏈設定 如何從25倍大的協議中 引發了132億美元的流出 坦率地看DeFi目前的面孔 —— 它實際上是一個開放的基础设施,有信托運作的籌碼, 即使是在市場上。 問題不在數學上 問題在於"思考模型"围绕着數學。
數學還不錯 壞的就是以數學为基础的精神模型。
一、限制的指导原则
在DeFi的歷史中, 审计审查合同逻辑。 空隙獎賞是重新進入、整數溢出和存取补丁的錯誤。 格式憑證為串行碼 。 暗含的假設是,合同之外的一切——多份簽署,部署者的私人鑰匙,跨橋證人,復建基建,團隊通訊通道——要么不在範圍內,要么是別人的問題。
這個猜想只有在攻擊者利用固體漏洞時才有效。
2026年4月的多起黑客事件有機構特征, Drift的密碼在2022年由Trail of Bits 审核,在2026年2月由ClawSecure 审核, 稽核中既未包括Drift的多個簽章設定、數位非ce 處理邏輯, 也未包含其中安全理事会社會工程攻擊的正面。 凱爾普道零層适配器是 OFT 樣本標準碼, 而合同本身並沒有問題 。 此錯誤發生在部署設定中, 這通常不在Solity審查的正常範圍內 。 瓦薩比的Vault合同被設計提升; 設計本身就是個漏洞。
不是數學在四月失事 是運作的基地。
二、三解剖:同一故障的三面体
2026年4月的三起嚴重黑客事件, 三個人共同承擔了大部分新的攻擊。
漂流:人肉簽署(2.85亿美元)
漂流黑客事件是情報行動 不是漏洞 因為北韓的Lazarus集團(特別是UNC 4736子集團), Mandiant先前曾與2024年10月的Radiant Capital襲擊有關。 攻擊者花了大约6個月計劃行動。 社會工作於2025年秋天開始。
2026年3月11日, 第二天,上午9點左右 在平壤時間, 攻擊者在Raydium上制造了一個小液體, 將市價定在一美元左右, 任何隨機檢查都會發現市場價格與預言一致。
攻擊者伪装成數量交易機構, 目的不在于捕捉信息。
這關乎索拉娜的名字你不能(恒定非ce) 特征: 一种合法机制, 3月23日至3月30日,五个漂流五国安全理事会中至少有兩個有數位無收的簽名。 從簽署人的角度看 他們批准例行交易 這些簽名是有效的授權文件。
3月26日, 移址移除了可能發現或干涉攻擊的延遲視窗。
4月1日 UTC下午16點05分18分, 攻擊者提交了第一個預署的耐久非ce交易──提案將管理者控制權轉至地址H7PiGqqqUaanBovwKegEtreJmQe6dbq6VTrw6guy7ZgL. 1秒,UTC16:05:19,第二次預簽交易被批准并执行. 攻擊者帶走了漂流。
花了12分鐘 攻擊者將無價的CVT列为抵押品, 借入了幾乎無限的數量, 漂流的TVL由5.5亿美元跌至2.5亿美元左右. 兩位簽署人 一份協議 智慧合約完全按照設計工作 漏水是在"人類"上面。
值得一提的是, 漂流者自己的事后披露非常坦率。
漏水後5天內,團隊發表了一份詳細的拷贝社會工程攻擊包括:在六個月的時間內, 捐獻者多次被聯絡; 其中兩位捐獻者可能被克隆者入侵, 通過代碼倉庫和TesteFlight 錢包的試驗版; 在襲擊前后, 和襲擊者Telegram的對話被刪除; 事發前六天移動到零時鐘的決定, 取消了最後的探測視窗。 也透露了攻擊原因(UNC4736/Citrine Sleet), Drift選擇以證據質疑的態度發表一則敘述, 將一宗事件變成全業的智慧威脅。 這起事件本身仍是黑客事件, 但是..「社會工程」如何運作的意識, 是分別協議如何促进集体工業學習與默默吞噬損失的協議的关键。
(2.92亿美元)
17天后,4月18日,同一类威脅造成了完全不同的结构性攻擊。 KelpDAO 是發售 ERSTH 的液體承諾協議, 是代表使用者的存款, 至2026年4月, RESH的TVL已超過10億美元。
合同很好 配置有問題 。
KelpDAO 的跨鏈橋以 1 的 DVD 運行( 已解析的驗證器網路, 去中央驗證器網路) , 也就是說, 只有一個驗證器 。 一個節點足以批准交叉連結訊息。 "去中心化"是名詞,不是结构。
攻擊分期發生 攻擊者先入侵了RPC內部的節點, 當數據來源掌握在自己手中時,他們就製造了一個交叉連結訊息,指示KelpDAO用"從未有鏈子"的破壞合同來伪造rETH。
UTC下午17點35分, 在幾分鐘內 這些rETHs被安置在Aave , 每個價值約2500美元。 KelpDAO在UTC18:21中止合同前。
UTC下午18點26分和18點28分 每一次移除4萬 ERSH的後續試圖被卷回 中止停止了更多的損失 但沒有原則。
Kelp本身的邏輯裡沒有任何重新進入的漏洞, 規定跨鏈橋的計算變數──目的鏈上釋放的資產必須與源鏈上摧毀的資產相等──在系統層被違反,而不是交易層被違反. 一個節點,數百萬的損失。
以下為公開爭議, LayerZero最初的事后報告直接把大麻扔給Kelp, Kelp在5月5日的抗議備忘錄中, Kelp 聲稱, LayerZero 的家, OFT Quickstart, GitHub 範例與開發者樣本, 在出厂時使用 Hive Zero Labs 作為强制性驗證器, 並且沒有第二張; 並向 LayerZero 的工作人员展示了Telegram截圖, 安全研究員Sujith Somraaj(前實驗員YeareZero)曾呈交一份缺口報告。
TyerleZero回應Kelp的備忘錄, 空間獎賞不包括「應用層設定」, 也是標準的「平台/應用程式」邊界(LayerZero發言人指出, 否則「任何應用程式都可以設立為唯一的DVD, Kelp表示Kelp最初部署多部DVD, 平台 vs. 應用程式的邊界確實是真正的爭議點。
更別提了 塞羅最後回覆的第二部分 5月8日, 在第一份报告發表三周後, 我們沒有被自己的DVD限制 因為保護。 協議停止支持DVD系統中的1–1, 將預設值移到5–5, 從3–5提到7–10, 并宣布了新的发行監控平台(Console). 不管底部配置是Kelp的錯誤, LayerZero的錯誤, 或者很可能是一個可以部署到危險狀態的平台和一個主动降級的集成方程之间的共同故障。
(450万美元)
4月30日, 是"沉默的黑客"。
EOA - 地址0x5c629/f8c0b5368f523c85bfe79d2a8efb64fb0c8 - 在部署在伊瑟魯姆、基地、爆破和貝拉鐵鏈的瓦薩比的永久合同經理人中, 不再簽名 合同框架本可以支持定時符,但配置是零。
攻擊者獲得了私密鑰匙, 由UUPS代理商提升Vault合同, 共損失4555萬元。
Wasabi沒有使用任何新的科技。 許多年來, 這個漏洞被警告為deFi反模式:權力过度集中, 也是DeFi自2020年便經過的漏洞。
最后,他們是同一個黑客。 無論是由簽署人的操控、認證節點的入侵或部署者的私人鑰匙被盜取, 這個模式也是一個警告:每起事件中。
不对称的多米諾
KelpDAO事件不只是美元本身, 這是 DeFi 第一次真正的壓力測試 。 這也是目前最好的例子之一。
Aave用超過250億澳元跨越所有鐵鏈。 整個DeFi TVL在48小時內跌落了134.1億美元。 不对称才是真正的故事 一個與跨鏈橋設計錯誤的小型協議。
當襲擊者投放無支持的rSETH並放入Aave時,Aave的合同是嚴格規定的. 它的預言機 在攻擊者借來的短窗裡 仍然讀到接近1:1. 借出資金會釋放真正的WETH。
市場即將回應。 ERSTH在數小時內在DEX進行深度交易, Aave V3 和 V4 冻结 RSETH 市場; Fluid, Compund, Euler, Morpho 在幾小時內跟蹤(SparkLend早在一月就已經從 RSETH 上掉下來) 。 Arbitrum, Base, Mantle, Linea, Blast, Scroll Holders of reth 目前無法相信他們手中的符號是: 1:1 回到以太的主機網路上 。
之後的流出並非因為Aave被黑客入侵, Ave在事發前幾周积累了相当的rSETH位置, 因為使用者正在利用重新登記; 所以傳播不是纯粹的「無辜旁觀者」理論。
該組織對此事的回應值得另行指出, 協議的緊急管理員在V3和V4所有受影響的鏈子上冻结了ERSTH市場, 一小時內, Aave的服務提供商在治理論壇上發表了一份詳細的事件報告, 公開地模擬了兩種不同的不良債務。
Aave的創辦人Stani Kulechov親自承諾5000 ETH復元; DeFi聯盟由Aave的服務商領導, 這是目前業內最大的跨安排救援。
Aave的態度隨著不善的說法越來越明確, 保護伞預備區最初承諾要補充缺口, 故事雖小但值得注意, Aave在操作層面妥善處理了此事, 但並未改變結構現實:將USDC存入協議的存款人。
這是更深层次的结构性問題 單池設計讓Aave有深度行動能力, 雖然Aave自己的治理很勤勉, 而且合同也很好。
這項法案在2026年4月首次以规模化的方式被清除。 法界未明. 導致 DeFi 增長的結構, 現在已成為傳輸渠道。
四、开放的真相
我們要繞過一個一直避免對話的行业。
這項行動仍依賴信任的第三方的金融基礎。 根據此定義, 今天以 DeFi 名下銷售的大多都是 OpenFi 。 安全委員會有權轉移行政官的控制权 一個只有 1 個證件的跨鏈橋 一個具有跨鏈管理角色的部署者. 像名詞一樣, 每個都是在一個叫做無缝的系統裡的"特權缝合"。
值得回顾的是, Szabo的「信任減少」計算, Butterin的「可靠的中性」基礎, Cypherpunk堅持「要求撤銷而非審查中介的私密與自由」, 透明度是必要和容易的。 實際上的硬點子 也就是在數萬多余的節點上 運行全球狀態機的所有摩擦付款 無法強迫、抓捕、行贿或入侵, 一個公共帳戶簿,你可以檢查,但你無法影響, 和一個公共帳戶, OpenFi 保留了交易的前半部分, 悄悄地失去了下半部分。
不同的協議依赖于不同类型的信任和不同的失敗模式. 給他們起名很有用: 信任(有人為你們持有真正的資產, 你們用债权來交易——跨鏈橋, 包裝符號); 提升信任(有人可以改變合同行為—— 代理, 安全會議—— 在你們交存之後); 預測者信任(有人提供合同本身不能產生的數據—— 物價) ; 活信(系統在連續運作的基础上運作—— 有些人可以在你們交存之後做) 。 分類者、復活者、守護者; 治理信任(提供貨幣持有者, 大多數協議都依賴其中的三、四份 也讓讀者可以猜到其他的。
更大的問題是其中一些假設是完全隱藏的。 在5月的道歉中, 這項失敗在內部被修复, 也從未向使用者透露, 也無法估價實際發生的風險。
「訓練輪子」, 出售的重點是行政官的私人鑰匙和安全理事会是过渡性的——它今天就存在了,在協議成熟到可以獨立行走時,它會被移除. 訓練的輪子實際上幾乎沒脫過 重新命名、重新包裝、更新或秘密轉至基礎 L2Beat的Phase 0 / Phase 1 / Phase 2框架是最清潔的例外, L2Beat表示法在自己的市場上使用。
這是工程現實, 如果想快速上線, 任何變更都需要完全移動, 任何漏洞都將永久化, 任何新的功能都要求使用者重新選擇新的部署。 除了技術因素外, 實際上, VC 的時間表無法讓憑證周期正式化三年。
一個不灵活的協議無法存取新的預言, 無法支持新的連結, 除非所有使用者與集成方程式被迫移動, 結果是,對任何個人團隊來說,理性的選擇是"用管理員的私密金鑰,并保證在未來移除它";對任何個人使用者來說,理性的選擇都受此取舍,因為替代協議要么不存在,要么不是液體. OpenFi 不是個人建築者的道德失敗 。 這是納什的平衡。
實際上的表示是 DeFi 幾乎普遍選擇了 局部的調整, 這個選擇可以辯護 這項協議並非以名義為重, 繼續以「分權」方式銷售。
更接近於「揭發」而非「革命」: 依據L2Beat模式, 必須標示信任; 延遲了很久, 讓使用者在權限完成前退出; 定价「操作風險」而非虛構的「純碼風險」保險市場; 2026年4月未能證明 OpenFi 不可行 。 它證明它以 DeFi 的樣式銷售 OpenFi 系統, 而它的使用者並沒有為它們的失敗模式做準備 。 為了讓這些系統安全 第一步是承認我們建造了這玩意。
五. 集中式雙面硬幣
OpenFi的核心取舍在 Arbitrium 冰凍中顯現出來 。 在利用KelpDAO漏洞三天後, 大部分標準都要求冻结:防止偷來的錢被洗刷。
但请注意, 這不是分散式基础设施的本性。 這是一個中央化的開關 由設計而存在... 以「緊急反應」為理由。
同樣的機制讓阿比特魯姆在凱爾普之後扮演一個"好人", 有一次,這個電力被合法地用來冻结偷來的資金;另一次,它被社會工程劫持,並被用來從乾燥的使用者中提取存款. 利用,切兩邊。
社會工程(Ronin, Drift), 內部入侵(Multichain), 主权強制, 法律強制(Tornado Cash, USDC)及劫持管理(Beanstalk, Mango Markets), 他們每個人都是不同的攻擊 不同的辯護 和"政會失敗"的句子 包圍了這一切 開始為它辯護的第一步。
這是DeFi的「中央雙面硬幣」, 在緊急情況下能帶來「好結果」的行動杠杆。
更深的問題是:在Arbitrum, 社會上建立合法性, 2016年DAO在Etheum的分裂仍是一個經典案例:半数社群認為6000萬元的漏洞是社會共识最明顯和合法使用;另一半人坚持认为這是對"法典是法律"的致命背叛。
Circe和Tether常冻结USDC和USDT的地址, 冻结被打包成遵守,但基本上可以自行酌定。 Arbitrum的冷藏有效。 DAO叉 從某种意义上說 它成功了 USDC的冰雪每天都在工作 問題不在于「關閉開關是否會有好結果」。
任何版本的取舍都不可能是"只有一個". 要么你關掉開關,要么你有些東西可以被抓住,被操控,被社會化;要么你沒有,你必須接受某些東西是永久的和不可逆的。
這些杠杆也無法互換。 Arbitrum的安理會聯合起來, 可以通過緊急進程(「速率+範圍」)。
THORchain 的杠杆更窄:它可以通过 RUNE 中止並重新資本化, 但無權扣押或轉換使用者資產。 Aave的緊急管理者可以冻结市場及調整風險參數, MakerDAO的緊急關閉是單向匯出, 不同的形式,不同的取舍,但所有的縮寫都稱為"關閉開關". 一個愿意誠實接受自己信任模式的協議。
工業也倾向于避免在「極端環境中的杠杆化」和「傳統的節奏中的杠杆化」之間的另一個區別。
比特币(Bitcoin)和Etheum(Etheum)原则上都具有足够的合力, 這兩條鏈子仍然被认为可信, DAO在過去10年中分離, 比特币從沒經歷過這種事 根據創用CC授權使用。
反省一下阿比特魯姆的安理會 它以傳統的節奏運作 它定期投票支持升級。 Kelp在冰封前及之后進行了更多緊急行動。 它不是休眠能力的储备,而是活跃的理事机构。 OpenFi批評比起「歇斯底里杠杆」, 主动杠杆沒有這個信號 他們只能靠自己的控制來評估。
在2021年遇到漏洞後, Arbitrium走過「關閉開關」路線, 兩種選擇都是可以辯護的。 沒有人是自由的 也必須告訴使用者每個具体的協議究竟能做出什麼樣的取舍。
最後一個轉折, 協議一旦被冻结, 國防部的冻结能力現在已成為對國防部的通訊及國家執行清單的強制反應。 決定「撤除網路開關」也是決定「繼續使用在協議存续期中會持續發展的強制用途清單」, 因此,THARchain的“無利可图”地位不僅是一种工程方案,而且是一种管理姿勢,它通过防止“遵守的可能性”而先行阻止“遵守义务”。 這種姿勢能否在持續的執法壓力下生存下去。
這種誠實比對外觀的機構推銷更重要。 操作性關閉開關, 這可以由基金管理團隊或保險公司承擔 不是2比5的協定 叫最小信任 而是在零時鐘內跑 前者是一种合法的工程選擇。 后者是沒人能付出的風險。
六,下一步呢
工業周期習慣被遺忘. 每個四年的周期都會重塑DeFi原本要取代的機構, 4月的事件并非前所未有的。 也能夠預測終結狀態。
這三項決定目前都未經工業批准。
集中化. 並向使用者解釋這項選擇。 DeFi 的誠實版本不是以"de-central"來賣掉自己,並以零時鐘(de-central)跑過2–5,而是公開地複雜成份,阈值,時鐘(Timelock),以及每個杠杆條件的類型. 點名是唯一可行的方法。
安全 稽核不是邊界 操作安全 —— 關鍵, 簽署者, 跨鏈橋, 設定, 事件反應 —— 被視為一流的学科, 大多數球隊繼續用它做后勤 從財政分配開始。
供资分配。 下一個資金周期將依據退休金、主权經銷商、公司財務及保險平衡表, 他們不需要把信任降到最低 它們需要可以承受的操作風險 它看起來比實驗協議更像是一個關鍵的基礎建設, 其他協議將繼續維持他們一直擁有的侨民資金。
2026年4月不是安全危機。 這時該行的心理模式完全破碎。
參考
(2026年4月1日):
-
Chainalysis,“漂流议定书黑客:如何將存取權限制到2.85億洛斯
-
俄羅斯國際電子報, https://www.elliptic.co/blog/drift-protocol-exprotection-for-286-in-subscited-dprk-link-intack
-
RM Labs,"北韓黑客阿托克手冊 $2.85億海斯特"。 https://www.trmlabs.com/resources/blog/north-korean-jacks-attack-drift-protocol-in-285百万海斯特
-
科因德斯克(CoinDesk)表示:「除2. https://www.coinsk.com/business/2026/05/05/drift-outlines-a-recovery-plans-for-user-after-usd295-dplk-link-extloit
KelpDAO跨鏈橋缺口利用率( 2026年4月18日):
-
鏈解 "KelpDAO大橋快車內" https://www.chainalysis.com/blog/kelpdao-bridge-exploit-april-2026/
-
科因德斯克,"Kelp DAO除了2.92億美元 包了其他20條鐵鏈" https://www.coindesk.com/tech/2026/04/19/2026-s-biggest-crypto-expluit-Kelp-dao-hit- for-usd292-million- with- wrapped-other-strand-across-20-chains
-
在Kelp DAO大橋爆發混亂後, https://www.coindesk.com/tech/2026/04/20/aave-could-face-up-to-usd230-in-loses-after-dao-bridge-exploit-triggers-defi-chaos 互联网档案馆的存檔,存档日期2013-03-02
-
DeFi Prime,"KelpDAO reth Explosionit: 292M 捐出一元一橋"
2026年4月30日:
-
哈爾伯恩,"解釋:瓦薩比议定书Hack(2026年4月)". https://www.halborn.com/blog/post/explained-the-wasabi-protocol-have-april-2026
-
科因德斯克,「Crypto Jucks 繼續做Wasabi Protocol 450萬美金的總管公司」。 https://www.coindesk.com/tech/2026/04/30/wasabi-protocol-draired- for-usd4-5-million-in-append-admin-key-concromise
2026年4月
-
Forbes,"DeFi的世界月顯示 風險已經超越智能承包商"。 https://www.forbes.com/sites/digital-assets/2026/04/30/defis-world-month-show-risk-has-moved-beyond-smart-contracts/
-
DR News,"Crypto Industry reels as April 看到了史上最多的JJ". https://www.drews.com/articles/defi/crypto-industry-reels-after-highest-數量-hacks-ever/
-
DL新聞,"投資者從 DeFi 中抽取15美元, https://www.dnews.com/articles/defi/ Investors-pull-money-felfer-kelpdao-hack/ 維基百科中的相关条目: 維基共享資源中相关的原始文献: 維基物種中相关的原始文献: 維基物種
-
「2026年 Defi Contagion risk: Inside the Kelp DAO-Aave Crisis」。 https://financialfeeds.com/defi-contagion-risk-in-2026-inside-the-kepp-dao-aave-crisis/. 維基百科中的相关条目: 危機
