博链BroadChain获悉,4月21日,2026年4月,Kelp DAO因攻击者利用无抵押代币在Aave上借走真实资产,46分钟内造成超2亿美元坏账,损失达2.92亿美元。近期系列安全事件还包括Drift Protocol被盗2.85亿美元、Step Finance损失约3000万美元、Resolv Labs损失约2300万美元。
通过对历史上及近期共20起代表性被盗事件梳理,可观察到三个显著规律:技术漏洞案例数量占优但单笔损失相对有限;权限与社会工程攻击案例虽少,却贡献了绝大部分损失总额;权限类攻击规模正持续升级。损失最大的四起事件背后均有朝鲜黑客组织身影,跨链桥领域安全问题尤为突出。
损失排名前十的事件包括:Bybit于2025年2月被盗15亿美元(Lazarus Group通过前端UI劫持与多签欺诈);Ronin Network于2022年3月损失6.24亿美元(Lazarus Group通过社交工程掌控验证节点私钥);Poly Network于2021年8月被盗6.11亿美元(跨链合约权限管理严重漏洞);Wormhole于2022年2月损失3.26亿美元(签名验证环节使用过时函数);Drift Protocol于2026年4月被盗2.85亿美元(定向渗透结合Solana预签骗局);WazirX于2024年7月损失2.35亿美元(多签钱包被逐步攻破);Cetus于2025年5月损失2.23亿美元(流动性计算算术溢出漏洞);Gala Games于2024年5月损失2.16亿美元(高权限铸币账户私钥被攻破);Mixin Network于2023年9月损失2亿美元(云数据库私钥被窃取);Euler Finance于2023年3月损失1.97亿美元(资产与负债计算逻辑不一致)。
近期案例中,Hyperbridge于2026年4月损失约250万美元(证明验证逻辑缺陷);Venus Protocol于2026年3月损失约370万至500万美元(绕过supply cap校验并利用兑换率计算逻辑漏洞)。