深潮 TechFlow 消息,5 月 02 日,據 Forbes 報道,DeFi 行業近期經歷有記錄以來損失最嚴重的月份,不到三週內有 12 個協議被盜超 6.06 億美元。其中 Drift 事件損失 2.85 億美元,Kelp DAO 損失 2.92 億美元,兩起攻擊合計佔總損失約 95%。
Solana 上最大的去中心化永續合約交易所 Drift 遭到攻擊。事件覆盤報告稱攻擊「策劃了六個月」,中等置信度歸因於朝鮮國家支持的黑客組織。攻擊者偽裝成量化交易公司,與貢獻者建立信任後利用 Solana 的「durable nonces」特性,誘導安全委員會成員預籤看似常規的交易。Drift 移除時間鎖並改為 2-of-5 多籤後,攻擊者引入虛構資產 CarbonVote Token 作為抵押品,最終繞過協議安全機制。該協議最近一次審計在今年 2 月,本次漏洞並非智能合約代碼問題,而是源於設備被攻陷、簽名者被操控等人為因素。
Kelp DAO 攻擊則針對協議外圍基礎設施。其通過 LayerZero 實現的跨鏈橋採用 1-of-1 驗證器配置,攻擊者攻陷 RPC 節點篡改數據,導致橋釋放 116500 枚 rsETH,約佔該代幣流通供應量的 18%。被盜 rsETH 隨後被存入 Aave 作為抵押借款,相關風險擴散至 Compound 和 Euler 等主要借貸市場。兩天內 DeFi 總鎖倉價值(TVL)下跌逾 130 億美元,Aave 承擔約 2.46 億美元 rsETH 壞賬。行業隨後發起「DeFi United」協調倡議,募集逾 3 億美元用於穩定受影響市場。
Karapetian Private Capital 的 Marat Karapetian 評論稱,2026 年的狀況令市場震驚,投資者已意識到 DeFi 結構的系統性脆弱。
