DefiLlama 記錄了 518 起加密貨幣駭客攻擊,10 年內損失超過 170 億美元,攻擊者從智能合約轉向私鑰、跨鏈橋和錢包,同時 rsETH 損失約 2.9 億美元。
根據 Cointelegraph 援引 DefiLlama 的數據,過去十年來,加密貨幣領域的安全損失已悄然超過 170 億美元,自 2014 年以來,至少有 518 起記錄在案的駭客攻擊和漏洞利用事件影響了交易所、DeFi 協議、跨鏈橋和錢包。這個數字包含了從早期交易所崩潰到當今複雜的跨鏈攻擊,儘管大規模鏈上漏洞的整體發生速度已從 2021-2022 年等狂熱高峰期放緩。
然而,表面之下,這些損失的構成正在發生變化。早期的 DeFi 駭客攻擊通常依賴於智能合約漏洞和未經檢查的閃電貸邏輯,而近期事件顯示攻擊者越來越將目標轉向加密生態系統周圍的薄弱環節 — 私鑰、簽名基礎設施和用戶設備 — 透過憑證盜竊、社交工程和 SIM 卡劫持式攻擊。安全公司告訴 Cointelegraph,他們預計 2026 年將出現更先進的網路釣魚和人工智慧輔助詐騙,這些詐騙能夠誘騙即使是技術嫻熟的用戶簽署惡意交易或洩露助記詞。
跨鏈橋基礎設施一直是個特別的弱點。DefiLlama 的駭客儀表板顯示,在被歸類為「被盜總價值」的約 118 億美元中,跨鏈橋佔了近 30 億美元,羅寧 (Ronin)、Wormhole 和 Multichain 等重大單一事件為跨鏈風險定下了基調。這份清單上的最新受害者是 Kelp DAO 的 rsETH 跨鏈橋,它在 4 月 18 日遭到攻擊,一名攻擊者在基於 LayerZero 的鏈接上偽造了跨鏈訊息,並鑄造或釋放了 116,500 枚 rsETH 到一個攻擊者控制的地址。
這些代幣 — 代表「再質押」的以太幣 — 當時價值約 2.9 億至 2.93 億美元,約佔 rsETH 總供應量的 18%,並被包括彭博社在內的媒體稱為 2026 年迄今最大的 DeFi 漏洞利用事件。該事件迫使 Kelp DAO 暫停跨鏈橋,與交易所和協議協調緊急應對,並引發了對 LayerZero 預設單一驗證者配置的指責,批評者認為這使得系統實際上離災難性鑄造僅「一鍵之遙」。
即使撇開頭條新聞式的漏洞利用事件不談,日常的憑證洩露也持續造成損失。Cointelegraph 援引 DefiLlama 的數據顯示,僅在 2026 年第一季度,駭客就從 34 個 DeFi 協議中竊取了約 1.686 億美元,其中最大的一筆 — Step Finance 的 4000 萬美元盜竊案 — 被追溯為私鑰洩露,而非單純的程式碼錯誤。這一趨勢表明 DeFi 的智能合約安全性正在緩慢提升,而攻擊者則透過向上游移動,針對錢包和協議之間的工具和人為流程進行攻擊。
對於用戶和團隊而言,教訓是殘酷但清晰的:審計和形式化驗證是必要的,但卻不足夠。硬體錢包、多重簽名方案、獨立簽名設備、嚴格的密鑰管理政策以及不懈的網路釣魚防範措施,現在對於保障加密貨幣安全而言,與 Gas 優化和漏洞賞金一樣重要 — 因為只需一個被洩露的憑證,就能將 DefiLlama 駭客數據庫中的另一行記錄變成數億美元的損失。
