4 月加密貨幣領域因安全事件損失約 6.2 億美元

金色財經2026年5月6號15點31分

零時科技每月安全事件看點開始了！據多家區塊鏈安全監測平台統計，2026 年 4 月加密貨幣領域安全態勢呈現「協議攻擊集中爆發，國家級駭客主導損失」的鮮明特點。當月因安全事件造成的總損失超過 6.2 億美元，是自 2025 年 2 月以來最嚴峻的單月損失紀錄。

當月整體損失中，駭客攻擊與合約漏洞相關的損失約 6.08 億美元，釣魚詐騙及 Rug Pull 相關損失約 1215 萬美元。協議駭客攻擊共發生至少 12 起，其中僅 KelpDAO 和 Drift Protocol 兩起攻擊事件就合計造成損失約 5.77 億美元，占月度總損失的 93 %。值得注意的是，多起重大攻擊已歸因於有國家級背景的駭客組織，其攻擊方式從單純的「財務動機盜竊」升級為「系統性滲透」，攻擊對象從單一協議擴展至跨鏈基礎設施及團隊外圍人員，令傳統依賴智能合約審計的防禦體系嚴重失效。

駭客攻擊方面

典型安全事件 5 起

• KelpDAO 跨鏈橋攻擊

損失金額：約 2.93 億美元

事件詳情：4 月 18 日（UTC 時間），流動再質押協議 KelpDAO 基於 LayerZero 的 rsETH 跨鏈橋遭攻擊，核心為跨鏈驗證配置缺陷（1/1 單簽 DVN）。攻擊者入侵 RPC 節點、偽造跨鏈消息，在源鏈無真實銷毀的情況下，於以太坊主網憑空鑄造 116,500 枚 rsETH。駭客將偽造 rsETH 存入 Aave、Compound 等借貸協議作為抵押品，借出約 2.36 億美元真實 ETH，引發大規模壞帳與流動性擠兌。該事件為 2026 年迄今最大 DeFi 攻擊，暴露跨鏈基礎設施單點依賴與配置管理的嚴重風險。

• Drift Protocol 社會工程學攻擊

損失金額：約 2.85 億美元

事件詳情：4 月 1 日，Solana 生態頭部去中心化永續合約平台 Drift Protocol 遭有組織社會工程學攻擊，非智能合約漏洞，核心為多簽治理與人員管控失守。攻擊者長期潛伏，偽裝成專業做市商與項目核心團隊建立信任，利用協議 2/5 多簽無時間鎖的配置，誘導兩名多簽成員盲簽惡意交易，並藉助 Solana Durable Nonce 機制延遲執行。4 月 1 日攻擊者觸發預簽名交易，12 分鐘內完成 31 筆轉賬，掏空協議核心金庫，資金快速跨鏈分流，成為 2026 年迄今最大 DeFi 安全事件、Solana 史上第二大攻擊，暴露了項目多簽治理與人員安全管理的短板。

• Rhea Finance 滑點保護漏洞攻擊

損失金額：約 1840 萬美元（其中 1120 萬美元已追回或凍結）

事件詳情：4 月 16 日，NEAR 生態借貸協議 Rhea Finance 遭遇攻擊，攻擊者利用保證金交易模塊中的滑點保護邏輯缺陷，在單次交易中非法提取大量資產。事件發生後，約 1120 萬美元已被追回或凍結，其中包括攻擊者主動歸還的部分 USDC 和 NEAR 資產，以及 Tether 協助凍結的約 434 萬美元 USDT。

• Vercel 生態供應鏈攻擊

損失金額：超 1000 萬美元

事件詳情：4 月 20 日，知名 Web 開發平台 Vercel 遭受供應鏈攻擊，攻擊者通過入侵團隊帳戶植入惡意代碼，波及多個依賴Vercel部署的加密項目前端。至少 3 個加密項目的前端遭到劫持，用戶在連接錢包時被引導簽署惡意交易，導致資產直接轉至攻擊者地址，後續排查仍在繼續。此為 4 月開發者與供應鏈安全事件的典型代表，類似攻擊模式涵蓋 npm/PyPI 軟體包植入後門，反映出針對 Web3 上游基礎設施的定向打擊已成為駭客的常態化攻擊路徑。

• Volo Protocol 漏洞攻擊

損失金額：約 350 萬美元

事件詳情：4 月 22 日，Sui 生態流動性質押協議 Volo Protocol 遭遇安全漏洞，攻擊者從三個特定金庫中提取了約 350 萬美元資產，涉及 WBTC、XAUm 和 USDC。官方確認此次漏洞僅涉及這三個金庫，其他約 2800 萬美元 TVL 資產未受影響，並承諾自行承擔此次損失，不會將損失轉嫁給用戶。

Rug Pull / 釣魚詐騙

典型安全事件 6 起

(1) 4 月 17 日，0x37638 開頭地址的受害者在簽署了一筆看似普通的交易——以太坊上的多重調用——後損失了 310,642 美元。

危險之處在於：這筆授權乍一看是看不見的。

(2) 4 月 20 日，0x5d908 開頭地址的受害者在以太坊上簽署了一筆釣魚性質「increaseApproval」簽名後，損失了 3 枚 WBTC（價值 22.1 萬美元）——這些 WBTC 剛剛從 Aave 平台中提取出來。

(3) 假冒 Ledger Live 應用釣魚攻擊

損失金額：約 950 萬美元

事件性質：4 月 7 日-13 日，一款假冒 Ledger Live 的惡意應用程序成功繞過蘋果應用商店審核並上架，一周內造成至少50名受害者損失約 950 萬美元加密資產。其中三名單一受害者損失超過百萬美元：4 月 8 日被盜走 195 萬美元的 BTC、ETH 和 stETH，4 月 9 日被盜走 323 萬美元的 USDT，4 月 11 日被盜走 208 萬美元的 USDC。

(4) 仿冒 imToken 官網釣魚詐騙

損失金額：未披露具體金額

事件性質：4 月集中爆發，攻擊者製作高仿 imToken 網站，通過搜尋引擎引流，以「安全驗證」為由誘導用戶輸入助記詞。惡意 APP 隨後竊取私鑰並轉移資產，卡巴斯基等機構已就此發布多次預警。

(5) 「長城易趣拍」平台 Rug Pull

損失金額：超 500 萬美元

事件性質：4 月 23 日，不法分子冒充國企營運「長城易趣拍」平台，誘導用戶將資金轉入境外交易所兌換代幣 CCRWA，隨後平台關停無法提現，多名投資者單戶損失超百萬元，涉案金額超 500 萬美元。

(6) Quickswap Discord 服務器入侵

損失金額：具體金額仍在統計中

事件性質：4 月 6 日，去中心化交易協議 Quickswap 官方 Discord 服務器遭入侵，攻擊者利用被控制的管理員賬號發布釣魚資訊，誘導用戶連接虛假「緊急遷移」網站並輸入私鑰或簽署惡意交易，引發大規模用戶資產安全風險。

總結

2026 年 4 月區塊鏈安全事件的核心特徵可概括為三個關鍵詞：集中爆發、國家級滲透、系統性傳導。

本月總損失超過 6.28 億美元，是自 2025 年 2 月以來加密行業最嚴峻的單月損失紀錄。協議駭客攻擊共發生 12 起以上，KelpDAO（ 2.92 億美元）、Drift Protocol（ 2.85 億美元）、Rhea Finance（ 1840 萬美元）為當月損失最大的三起攻擊事件。

攻擊手法全面升級：跨鏈橋配置缺陷、社會工程滲透、供應鏈投毒、假冒應用突破審核等多維攻擊並發。釣魚詐騙與 Rug Pull 持續高發。國家級駭客主導的複合式攻擊，已對傳統安全審計與防禦體系構成嚴峻挑戰。

零時科技安全團隊建議：

• 個人：助記詞永不透露，僅從官方商店下載應用，警惕AI仿冒資訊，定期清理授權，硬體錢包啟用物理確認。

• 項目方：核心權限多簽 + 時間鎖，驗證節點多源交叉，加強全員防社工培訓，審計代碼與配置安全。

• 行業：建立跨協議風險隔離，共享 APT 威脅情報和黑名單庫，普及 AI 釣魚預警教育。

來源：金色財經

發佈者對本文章的內容承擔全部責任
在投資加密貨幣前，請務必深入研究，理解相關風險，並謹慎評估自己的風險承受能力。不要因為短期高回報的誘惑而忽視潛在的重大損失。