北京
奔跑財經(jīng)4月22日消息,據(jù)DefiLlama數(shù)據(jù)統(tǒng)計,自2014年以來,至少有518起記錄在案的黑客攻擊事件席卷了交易所、DeFi協(xié)議、跨鏈橋和錢包,累計損失已悄悄突破170億美元大關(guān)。
盡管大規(guī)模鏈上攻擊的頻率已從2021-2022年的狂熱高峰放緩,但損失的結(jié)構(gòu)正在發(fā)生深刻變化。
私鑰與社交工程成新靶心
早期DeFi攻擊大多依賴于智能合約漏洞和閃電貸邏輯缺陷。然而,安全專家向Cointelegraph指出,如今的攻擊者正越來越多地瞄準(zhǔn)私人密鑰、簽名基礎(chǔ)設(shè)施和用戶設(shè)備。
安全公司預(yù)測,2026年將出現(xiàn)更多高級釣魚和AI輔助騙局,即使技術(shù)嫻熟的用戶也可能被誘騙簽署惡意交易或泄露助記詞。
跨鏈橋成“重災(zāi)區(qū)”
在各類基礎(chǔ)設(shè)施中,跨鏈橋尤為脆弱。DefiLlama的數(shù)據(jù)顯示,在約118億美元的“總被黑價值”中,橋接攻擊貢獻(xiàn)了近30億美元。Ronin、Wormhole和Multichain等大型單一事件,為跨鏈風(fēng)險定下了基調(diào)。
就在今年4月18日,攻擊者利用基于LayerZero的鏈接偽造了一條跨鏈消息,從而鑄造/釋放了116,500枚rsETH(一種“再質(zhì)押”的以太坊衍生品)到其控制的地址。按當(dāng)時價格計算,損失高達(dá)2.9億至2.93億美元,約占rsETH總供應(yīng)量的18%,被彭博社等媒體稱為2026年迄今最大的DeFi攻擊事件。
此事迫使Kelp DAO暫停橋接服務(wù),并與各大交易所緊急協(xié)調(diào)。
私鑰泄露危害遠(yuǎn)超代碼bug
即便拋開頭條新聞級別的攻擊,日常的憑證泄露也在持續(xù)造成巨額損失。數(shù)據(jù)顯示,僅2026年第一季度,黑客就從34個DeFi協(xié)議中盜取了約1.686億美元。
其中最大的一筆,Step Finance被盜4000萬美元。其根源被追溯到私鑰泄露,而非純粹的代碼漏洞。這一趨勢表明,DeFi的智能合約安全正在逐步加固,而攻擊者的響應(yīng)策略是向上游移動,瞄準(zhǔn)連接錢包與協(xié)議之間的工具和人為流程。
警示
對于項目和用戶而言,代碼審計和形式化驗證是必要的,但遠(yuǎn)遠(yuǎn)不夠。
硬件密鑰、多簽方案、隔離的簽名設(shè)備、嚴(yán)格的密鑰管理策略以及不懈的防釣魚衛(wèi)生習(xí)慣,如今對于保護(hù)加密資產(chǎn)的重要性,已堪比曾經(jīng)的Gas優(yōu)化和漏洞賞金。因為只需一個泄露的憑證,就足以在DefiLlama的黑客數(shù)據(jù)庫中添加另一行九位數(shù)的損失記錄。
特別聲明:以上內(nèi)容(如有圖片或視頻亦包括在內(nèi))為自媒體平臺“網(wǎng)易號”用戶上傳并發(fā)布,本平臺僅提供信息存儲服務(wù)。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
