2026 年 4 月 1 日,UTC 时间 16:05:18,攻击者向 Drift Protocol 提交了一笔交易。一秒后,另一笔交易批准了它。十二分钟后,2.85 亿美元不翼而飞。十七天后,KelpDAO 跨链桥上的一个被入侵的验证者凭一己之力铸造了 2.92 亿美元的无支撑代币,并在 48 小时内引发 Aave 约 85 亿美元的资金外流,DeFi 其他协议也流出了约 45 亿美元。又过了十二天,一名持有被盗部署者私钥的攻击者跨四条链从 Wasabi Protocol 抽走了 450 万美元。
这些事件没有一起是因为利用了智能合约漏洞。DeFi 大半个十年都笃信,安全是一个代码问题。审计、形式化验证、漏洞赏金——整个行业是围绕一个前提自我组织起来的:只要智能合约逻辑严密,协议就安全。数学即法律。2026 年 4 月就是这个前提在公众视野中崩塌的月份。
单月跨约 30 起事件累计被盗超过 6.25 亿美元——根据 DefiLlama 的数据,按事件数计这是加密史上被黑最严重的一个月——而每一笔重大损失都追溯到管理员私钥、跨链桥验证者、预言机盲区或社会工程攻击,全都是审计从未被设计来覆盖的运营底座。本文要讲的就是这场迁移。我们会把 4 月三起严重黑客事件拆成同一种底层失败的三副面孔,复盘一家协议的错误跨链桥配置如何引发了一家体量比它大 25 倍的协议产生 132 亿美元外流,并坦率地审视 DeFi 现在的真实面貌—,它实际上是带有受信运营杠杆的开放基础设施,哪怕营销话术上不这么说。问题不出在数学。问题出在围绕数学的「心智模型」上。数学没坏。坏的是套在数学之上的心智模型,而这种错位的代价正在迫使行业重新审视「去中心化」究竟意味着什么。
一、心智模型缺口
在 DeFi 的大部分历史中,主流安全文化是基于 solidity 的。审计审查合约逻辑。漏洞赏金为重入、整数溢出、访问修饰符错误买单。形式化验证为链上代码证明不变量。隐含假设是:合约之外的一切——多签、部署者私钥、跨链桥验证者、Relayer 基础设施、团队沟通渠道——要么不在范围内,要么是别人的问题。这个假设仅仅在攻击者们在利用 Solidity 漏洞时才是成立的。
2026 年 4 月的几起黑客事件有一个审计报告无法描述的结构特征:智能合约本身没有漏洞。据独立链上研究者的复盘,Drift 的代码在 2022 年由 Trail of Bits、2026 年 2 月由 ClawSecure 各做过一次审计,两份都通过了。两份审计都没有覆盖 Drift 的多签配置、durable nonce 处理逻辑,也没有覆盖围绕其 Security Council 的社会工程攻击面。KelpDAO 的 LayerZero 适配器是标准的 OFT 模板代码,合约本身没有任何问题。错误出在部署配置上,而这通常不在 Solidity 审计的常规范围内。Wasabi 的 Vault 合约是按设计可升级的;设计本身就是漏洞。4 月崩掉的不是数学,是数学赖以运行的运营底座。
二、三宗解剖:同一种失败的三副面孔
2026 年 4 月的三起严重黑客事件——Drift、KelpDAO、Wasabi——代表了三种截然不同的「非代码失败」。三者合起来覆盖了大部分新型攻击面,并且共享同一个结构特征:每一起事件里,一两个被攻破的个体或基础设施,都向整个协议产生了多米诺骨牌效应。
Drift:人肉多签(2.85 亿美元)
Drift 黑客事件是一次情报行动,不是一次漏洞利用。攻击者经 TRM Labs、Elliptic 以及 Drift 自身在 SEAL 911 协助下的分析归因为朝鲜的 Lazarus Group,具体来说是 UNC4736 子团伙,Mandiant 此前已将其与 2024 年 10 月的 Radiant Capital 攻击事件关联。攻击者花了大约半年时间策划这次行动。社会工程从 2025 年秋季的行业会议开始,链上准备则在事发前三周才启动。
3 月 26 日,Drift 做了一个事后看灾难性的决定:迁移到一个全新的 2-of-5 Security Council 多签,且 timelock 为零。这次迁移消除了原本可能发现或干预攻击的延迟窗口。4 月 1 日 UTC 16:05:18,攻击者提交了第一笔预签的 durable nonce 交易——一份提案,要把管理员控制权转移到地址 H7PiGqqUaanBovwKgEtreJbKmQe6dbq6VTrw6guy7ZgL。一秒后,UTC 16:05:19,第二笔预签交易批准并执行了它。攻击者拿下了 Drift。
KelpDAO:单一验证者(2.92 亿美元)
十七天后的 4 月 18 日,同一类威胁行为者画像产出了一次结构上完全不同的攻击。KelpDAO 是一家流动性再质押协议,发行 rsETH——代表用户存款,通过 EigenLayer 路由以获取额外收益的代币。到 2026 年 4 月,rsETH 的 TVL 已超过 10 亿美元,并通过 LayerZero 的 OFT 标准部署在 20 多条链上。合约没问题。配置有问题。KelpDAO 的跨链桥跑在 1-of-1 DVN 上——也就是只有一个验证者。一个节点就足以批准一次跨链消息。「去中心化」是词汇,不是架构。
Wasabi:管理员私钥(450 万美元)
4 月 30 日的 Wasabi 比另外两起小一个数量级,也正因此最难堪。它是一次「无聊的黑客」。一个部署者 EOA 在 Wasabi 部署于 Ethereum、Base、Blast 和 Bera 链上的永续合约管理器里持有 ADMIN_ROLE。没有多签。合约框架本来支持 timelock,但配置值是零。攻击者拿到了那把私钥,扫走抵押品和池子余额。
三、非对称多米诺
KelpDAO 事件之所以超出其美元金额本身的意义,是因为它之后发生的事——这是 DeFi 可组合性在运营失败下第一次真正意义上的压力测试——同时也是迄今最能说明「蔓延数学有多荒诞地不对称」的案例。把规模摆清楚:事发时 KelpDAO 的 rsETH TVL 约 10 亿美元;Aave 跨所有链的 AUM 超过 250 亿美元。一个体量大概只有 Aave 4% 的协议,仅凭一次事件就在 48 小时内从 Aave 一家抽走了 84.5 亿美元。
四、OpenFi 的真相
我们绕到了一个行业一直回避的对话上。就叫它 OpenFi 吧:准入无许可、链上可审计,但在「原本去中心化论点说应该移除中介」的关键节点上,运营上依然依赖受信第三方的金融基础设施。按这个定义,今天被冠以 DeFi 之名营销的大多数东西都是 OpenFi。一个有权转移管理员控制权的 Security Council。一座只有 1-of-1 验证者的跨链桥。一个拥有跨链 ADMIN_ROLE 的部署者 EOA。每一项都是号称无缝的系统里被打了补丁的「特权接缝」。
五、中心化的两面性硬币
OpenFi 的核心权衡在 Arbitrum 冻结事件里变得肉眼可见。KelpDAO 漏洞被利用三天后,Arbitrum 的 Security Council 投票冻结了攻击者已经转到 Arbitrum One 上的 30,766 ETH——约 7,100 万美元。冻结与执法机关协调进行,按大多数标准看是个好结果:被盗资金被阻止洗白,攻击者的下游通道被关闭,部分用户损失或许还能找回。但请注意是什么让这次冻结成为可能:Arbitrum 有一个有权「伸手进链上转移资金」的 Security Council。这不是去中心化基础设施的特性。这是一个按设计就存在的中心化关闭开关。
六、接下来会怎样
行业周期的习惯是遗忘。每一个四年周期都会重新发明 DeFi 本来要替代的那些机构,因此挨揍,短暂想起原则为什么存在,然后再次忘掉。4 月发生的一切都不是史无前例的。它是一个用便利换原则、却不点名权衡的行业,可以预测的最终状态。三个决定如今摆在行业面前,没有一个可以再被推迟:中心化、安全、资金配置。
2026 年 4 月不是一次安全危机。它是行业心智模型彻底破裂的时刻,也是那些能活下来的协议、开始和那些活不下来的协议被区分开来的时刻。
[IOSG]
DeFi 范式转变:当运营失败超过代码漏洞时
2026年4月的DeFi安全漏洞代表了该行业的一个分水岭时刻,标志着智能合约审计曾被视为用户资金充分保障时代的终结。在约30起事件中,超过6.25亿美元被盗,这一时期表明,DeFi中最关键的漏洞不再在于代码本身,而在于支持它的运营基础设施。对于经验丰富的投资者而言,这标志着对DeFi领域风险因素、协议评估方法和投资理论的根本性重新评估。
市场影响:行业警钟
4月的事件触发了立即的市场反应,影响远超受影响的协议。在KelpDAO漏洞发生后的48小时内,我们观察到:
- Drift (DRIFT):随着市场重新评估协议安全性,代币价格从1.42美元暴跌72%至0.39美元,随后稳定在约0.45美元。
- KelpDAO (rETH):代表受影响协议的代币价格从3,250美元暴跌85%至487美元,其总锁定价值(TVL)下降了68%,造成持久损害。
- DeFi全行业:事件发生后的那一周,DeFi协议的总锁定价值(TVL)下降了约12%,代表420亿美元的资金外流,风险厌恶型投资者纷纷逃离感知到的漏洞。
更重要的是,市场开始区分”真正的DeFi”和”OpenFi”协议——那些尽管营销去中心化但运营上仍依赖中心化元素的协议。具有明确定义的中心化点和安全措施(如Arbitrum的安全委员会)的协议在此期间表现优于纯粹营销的”去中心化”替代方案。
新的风险格局:运营优先于代码
传统的DeFi风险评估侧重于智能合约漏洞、代码审计和数学证明。4月的事件揭示了新的风险层次:
-
多重签名配置:Drift的2-of-5多重签名且无时间锁机制创建了一种攻击向量,Trail of Bits和ClawSecure审计均无法检测到。投资者现在必须评估安全委员会结构、时间锁期限和社会工程学抵抗力。
-
跨链桥验证:KelpDAO在LayerZero上的1-of-1验证器配置代表了绕过所有标准安全措施的单点故障。Aave的84.5亿美元外流表明,小型协议故障如何在可组合系统中产生不对称的传染风险。
-
部署者密钥管理:Wasabi使用单个部署者外部拥有账户(EOA)并带有ADMIN_ROLE且无时间锁,创造了易于利用的目标。这凸显了升级合约模式在行政职能适当去中心化方面的风险。
-
预言机盲点:虽然文章未明确详述,但预言机漏洞的提及暗示了第四个关键风险领域,传统审计往往无法全面解决。
投资影响:安全溢价
市场已开始为解决这些运营漏洞的协议定价”安全溢价”:
- 具有明确中心化点的协议:Arbitrum证明中心化安全委员会有助于资金回收,此类协议在事件后的一个月内相对于纯粹营销的”去中心化”替代方案表现优于15%。
- 多链暴露:KelpDAO事件突显了跨链部署验证不足的风险。投资者应优先考虑具有强大跨链安全性的协议,或在其更好的解决方案出现前限制其多链暴露。
- 保险和恢复机制:具有活跃保险基金或明确恢复流程的协议(如带有时间锁定治理的协议)显示了更快的TVL恢复速度——平均在30天内恢复65%,而缺乏此类机制的协议仅为32%。
OpenFi 现实检验
文章介绍的”OpenFi”——准入无权限但运营上依赖可信第三方——反映了大多数营销的”DeFi”协议的现实。对于投资者而言,这创造了以下之间的紧张关系:
- 收益预期:更高收益往往伴随着更大的中心化风险。
- 安全权衡:真正的去中心化解决方案通常提供较低收益,但对4月份看到的攻击类型可能更具弹性。
市场似乎正在采用混合方法,当透明沟通和适当保障时,适度的中心化是可以接受的。成功平衡这一点的协议可能会吸引溢价估值。
Arbitrum 先例:中心化作为特性
Arbitrum安全委员会冻结7100万美元被盗资金的能力提供了一个引人入胜的案例研究。虽然这种中心化行动违背了去中心化原则,但它展示了明显的好处:
- 资金恢复潜力:中心化安全机制可以实现纯粹去中心化系统中不可能实现的资产回收。
- 监管一致性:具有明确中心化点的协议可能更容易实现监管合规,从而可能降低未来监管风险。
这创造了一个新的投资考量:适度、透明的中心化可能优于导致灾难性失败的去中心化幻觉。
未来机遇:重新定义DeFi安全
危机也创造了重大机遇:
- 运营安全解决方案:专门从事多重签名安全、验证器管理和密钥保管解决方案的公司有望增长。自2026年4月以来,我们看到运营安全初创公司的资金增加了42%。
- 改进的审计方法:扩展审计范围以包括运营配置、多重签名设置和部署参数的公司将获得市场份额。传统审计市场预计将在2027年演变以纳入这些元素。
- 保险协议创新:将覆盖运营风险而不仅仅是智能合约漏洞的新保险模式将出现。随着这些新风险类别得到适当定价,DeFi保险市场可能增长3-5倍。
- 治理代币设计:在保持效率的同时更广泛地分配运营安全责任的新代币模型将创造竞争优势。
投资策略转变
对于经验丰富的加密货币投资者,4月的事件需要对协议评估进行根本性转变:
- 超越审计:将安全委员会结构、多重签名配置、时间锁期限和验证器设置作为主要风险因素评估,仅在智能合约代码之后。
- 不对称风险评估:考虑协议故障对生态系统中更大协议的潜在连锁反应。KelpDAO-Aave事件表明,小型协议漏洞如何为更大平台产生不成比例的风险。
- 透明度溢价:透明沟通其运营中心化风险和缓解策略的协议应比营销虚假去中心化的协议获得估值溢价。
- 安全导向的多元化:保持对协议类型组合的敞口——从具有明确中心化点的到实现真正去中心化的——以对冲不同的风险场景。
2026年4月的事件不代表DeFi的失败,而是行业的必要成熟。对于投资者而言,这一时期提供了完善风险评估方法并确定将引领下一代安全、功能性金融基础设施协议的机会。那些认识到”数学没有问题,但叠加在其上的思维模型有问题”的人将最能利用新兴的DeFi范式。