【安全月报】| 4 月加密货币领域因安全事件损失约 6.2 亿美元

零时科技每月安全事件看点开始了！据多家区块链安全监测平台统计，2026 年 4 月加密货币领域安全态势呈现“协议攻击集中爆发，国家级黑客主导损失”的鲜明特点。当月因安全事件造成的总损失超过 6.2 亿美元，是自 2025 年 2 月以来最严峻的单月损失纪录。

当月整体损失中，黑客攻击与合约漏洞相关的损失约 6.08 亿美元，钓鱼诈骗及 Rug Pull 相关损失约 1215 万美元。协议黑客攻击共发生至少 12 起，其中仅 KelpDAO 和 Drift Protocol 两起攻击事件就合计造成损失约 5.77 亿美元，占月度总损失的 93 %。值得注意的是，多起重大攻击已归因于有国家级背景的黑客组织，其攻击方式从单纯的“财务动机盗窃”升级为“系统性渗透”，攻击对象从单一协议扩展至跨链基础设施及团队外围人员，令传统依赖智能合约审计的防御体系严重失效。

黑客攻击方面

典型安全事件5起

• KelpDAO 跨链桥攻击

损失金额：约 2.93 亿美元

事件详情：4 月 18 日（UTC 时间），流动再质押协议 KelpDAO 基于 LayerZero 的 rsETH 跨链桥遭攻击，核心为跨链验证配置缺陷（1/1 单签 DVN）。攻击者入侵 RPC 节点、伪造跨链消息，在源链无真实销毁的情况下，于以太坊主网凭空铸造 116,500 枚 rsETH。黑客将伪造 rsETH 存入 Aave、Compound 等借贷协议作为抵押品，借出约 2.36 亿美元真实 ETH，引发大规模坏账与流动性挤兑。该事件为 2026 年迄今最大 DeFi 攻击，暴露跨链基础设施单点依赖与配置管理的严重风险。

• Drift Protocol 社会工程学攻击

损失金额：约 2.85 亿美元

事件详情：4 月 1 日，Solana 生态头部去中心化永续合约平台 Drift Protocol 遭有组织社会工程学攻击，非智能合约漏洞，核心为多签治理与人员管控失守。攻击者长期潜伏，伪装成专业做市商与项目核心团队建立信任，利用协议 2/5 多签无时间锁的配置，诱导两名多签成员盲签恶意交易，并借助 Solana Durable Nonce 机制延迟执行。4 月 1 日攻击者触发预签名交易，12 分钟内完成 31 笔转账，掏空协议核心金库，资金快速跨链分流，成为 2026 年迄今最大 DeFi 安全事件、Solana 史上第二大攻击，暴露了项目多签治理与人员安全管理的短板。

• Rhea Finance 滑点保护漏洞攻击

损失金额：约 1840 万美元（其中 1120 万美元已追回或冻结）

事件详情：4 月 16 日，NEAR 生态借贷协议 Rhea Finance 遭遇攻击，攻击者利用保证金交易模块中的滑点保护逻辑缺陷，在单次交易中非法提取大量资产。事件发生后，约 1120 万美元已被追回或冻结，其中包括攻击者主动归还的部分 USDC 和 NEAR 资产，以及 Tether 协助冻结的约 434 万美元 USDT。

• Vercel 生态供应链攻击

损失金额：超 1000 万美元

事件详情：4 月 20 日，知名 Web 开发平台 Vercel 遭受供应链攻击，攻击者通过入侵团队账户植入恶意代码，波及多个依赖Vercel部署的加密项目前端。至少 3 个加密项目的前端遭到劫持，用户在连接钱包时被引导签署恶意交易，导致资产直接转至攻击者地址，后续排查仍在继续。

此为 4 月开发者与供应链安全事件的典型代表，类似攻击模式涵盖 npm/PyPI 软件包植入后门，反映出针对 Web3 上游基础设施的定向打击已成为黑客的常态化攻击路径。

• Volo Protocol 漏洞攻击

损失金额：约 350 万美元

事件详情：4 月 22 日，Sui 生态流动性质押协议 Volo Protocol 遭遇安全漏洞，攻击者从三个特定金库中提取了约 350 万美元资产，涉及 WBTC、XAUm 和 USDC。官方确认此次漏洞仅涉及这三个金库，其他约 2800 万美元 TVL 资产未受影响，并承诺自行承担此次损失，不会将损失转嫁给用户。

Rug Pull / 钓鱼诈骗

典型安全事件6起

(1) 4 月 17 日，0x37638 开头地址的受害者在签署了一笔看似普通的交易——以太坊上的多重调用——后损失了 310,642 美元。

危险之处在于：这笔授权乍一看是看不见的。

(2) 4 月 20 日，0x5d908 开头地址的受害者在以太坊上签署了一笔钓鱼性质“increaseApproval”签名后，损失了 3 枚 WBTC（价值 22.1 万美元）——这些 WBTC 刚刚从 Aave 平台中提取出来。

(3) 假冒 Ledger Live 应用钓鱼攻击

损失金额：约 950 万美元

事件性质：4 月 7 日-13 日，一款假冒 Ledger Live 的恶意应用程序成功绕过苹果应用商店审核并上架，一周内造成至少50名受害者损失约 950 万美元加密资产。其中三名单一受害者损失超过百万美元：4 月 8 日被盗走 195 万美元的 BTC、ETH 和 stETH，4 月 9 日被盗走 323 万美元的 USDT，4 月 11 日被盗走 208 万美元的 USDC。

(4) 仿冒 imToken 官网钓鱼诈骗

损失金额：未披露具体金额

事件性质：4 月集中爆发，攻击者制作高仿 imToken 网站，通过搜索引擎引流，以“安全验证”为由诱导用户输入助记词。恶意 APP 随后窃取私钥并转移资产，卡巴斯基等机构已就此发布多次预警。

(5) “长城易趣拍” 平台 Rug Pull

损失金额：超 500 万美元

事件性质：4 月 23 日，不法分子冒充国企运营 “长城易趣拍” 平台，诱导用户将资金转入境外交易所兑换代币 CCRWA，随后平台关停无法提现，多名投资者单户损失超百万元，涉案金额超 500 万美元。

(6) Quickswap Discord 服务器入侵

损失金额：具体金额仍在统计中

事件性质：4 月 6 日，去中心化交易协议 Quickswap 官方 Discord 服务器遭入侵，攻击者利用被控制的管理员账号发布钓鱼信息，诱导用户连接虚假“紧急迁移”网站并输入私钥或签署恶意交易，引发大规模用户资产安全风险。