---
title: "20 天被盗 6 亿美元，币圈的 AI 黑客时代来了"
type: "Topics"
locale: "zh-CN"
url: "https://longbridge.com/zh-CN/topics/40035748.md"
description: "你在 DeFi 协议里放了多少钱？「just use Aave」，这是在加密圈流传很久的一句口头禅，意思是：「别玩那些花里胡哨的小协议了，风险太高，just use Aave 就好，Aave 审计多、跑了这么多年、是行业标杆，放里面是相对安全的。」但这句口头禅，如今似乎也变得不那么理所当然了..."
datetime: "2026-04-20T08:41:31.000Z"
locales:
  - [en](https://longbridge.com/en/topics/40035748.md)
  - [zh-CN](https://longbridge.com/zh-CN/topics/40035748.md)
  - [zh-HK](https://longbridge.com/zh-HK/topics/40035748.md)
author: "[BlockBeats](https://longbridge.com/zh-CN/profiles/3305938.md)"
---

# 20 天被盗 6 亿美元，币圈的 AI 黑客时代来了

你在 DeFi 协议里放了多少钱？

「just use Aave」，这是在加密圈流传很久的一句口头禅，意思是：「别玩那些花里胡哨的小协议了，风险太高，just use Aave 就好，Aave 审计多、跑了这么多年、是行业标杆，放里面是相对安全的。」但这句口头禅，如今似乎也变得不那么理所当然了。甚至出现了「'just use Aave' is dead」、「以太坊叙事失灵」甚至「DeFi is dead」这样的反义句。

市场有这些情绪化的表达，在 4 月这个加密行业被盗事件频发的月份里，似乎也并不奇怪。

# **2026，史上被盗案最多的一年**

这个月才过去了三分之二，虽然 BTC、ETH 的币价都在慢慢往上走，但加密市场一连串被盗的数字还是非常惊人的。

4 月份不到 20 天的损失加总，超过 6.05 亿美元，至少 12 个协议受到攻击，几个比较知名的事件包括：

4 月 1 日，Solana 上最大的永续合约交易所 Drift Protocol 在 12 分钟内被盗 2.85 亿美元，成为 2026 年截至当时最大的单笔 DeFi 攻击。

4 月 10 日，去中心化 GPU 云基础设施 Aethir 检测到针对其 ETH 跨链桥合约的恶意攻击，及时切断了受损合约，损失控制在 9 万美元以内。同日，Hyperbridge 遭遇验证漏洞攻击，攻击者伪造跨链消息，铸造并抛售了 10 亿枚桥接 DOT 代币，造成约 250 万美元损失。

4 月中旬前后，多个小型协议接连中招。Silo Finance 因预言机配置错误损失 39.2 万美元；桥接聚合器 Dango 遭智能合约漏洞攻击损失 41 万美元；NEAR 网络上一个攻击者提前两天准备了 423 个钱包和 8 个假流动性池来操纵预言机，最终盗走约 1840 万美元。

4 月 18 日，Kelp DAO 被盗 2.92 亿美元，刷新了 2026 年 DeFi 被盗纪录。

「2026 年将极有可能成为有史以来被盗最多的一年」，Ledger 安全负责人 Charles Guillemet 这么说到。

这一观点很可能成真，原因不在于 DeFi 变得更脆弱，而是因为攻击者获得了新武器——AI。

# **盗 2.9 亿美元前两周，AI 就已经发现了漏洞**

过去一年，AI 驱动的漏洞利用价值大约每 1.3 个月翻一倍，单个合约的扫描成本已经降到 1.22 美元。攻击门槛的塌方，或许才是 2026 年创纪录的真正原因。今年 4 月，Anthropic 披露其内部模型 Claude Mythos Preview 自主发现了主流操作系统和密码学库中的数千个零日漏洞，漏洞利用成功率 72.4%，而此前任何 AI 模型接近于零。

> 图解：纵轴是模拟被盗金额（对数坐标），横轴是时间，展示了过去一年 10 个前沿 AI 模型在知识截止日期后的合约上，漏洞利用收益大约每 1.3 个月翻一倍的趋势。阴影区域是 90% 置信区间。

一个典型的案例是：就在 Drift 被黑后的第二天，一个叫 Zengineer 的开发者，用 Claude Code 写了一个 AI 开源的风险审计工具 Skill，用公开数据（DeFiLlama、链上合约、治理文档、Safe API）评估协议的架构级风险，并自动与 Ronin、Harmony、Euler、Beanstalk 等历史攻击模式进行比对。

他认为 Drift 这次，以及近期大多数 DeFi 大额被盗事件，根本没有利用任何 Solidity 代码漏洞。真正的致命弱点在治理架构、管理员密钥权限、跨链桥验证器配置，这些「非代码」层面的安全盲点，是传统审计公司的代码扫描器天然看不到的，而他做的这个工具可以。

在 Kelp DAO 被盗的 12 天前，他曾用这个工具对 Kelp DAO 跑了一次[完整审计](https://zengineer.blog/blog/research/kelp-dao-292m-vulnerability-flagged-12-days-before-zh/#heading-3)，报告给出 72 分（中等风险），标记了五个主要问题，包括「DVN 配置不透明：LayerZero 验证节点数量、门槛未公开披露」、「16 条链的单点故障： DVN 一旦失效，所有链上的 rsETH 同时失去担保。」、「与 2022 年分别被盗 6 亿美元和 1 亿美元的 Ronin、Harmony 攻击场景高度相似」、「治理覆盖范围不明」、「无保险基金： 协议没有任何损失吸收机制，一旦出事，下游协议自行承担」等。

> Zengineer 的报告中提及的关于 Kelp DVN 配置的问题

12 天后，4 月 18 日，Kelp 被黑，根本原因正是那个 1-of-1 DVN 配置，报告第一条标记的风险。

律动 BlockBeats 发现，Zengineer 的这个 AI 开源的风险审计工具 Skill，目前已在 DeFiLlama 前 100 大 TVL 协议中的 56 个跑完完整审计，除了 Kelp DAO，还发现了几个有高危风险的协议包括：审计陈旧的 JustLend（TVL 33 亿美元）；DWF Labs 关联、保险基金仅有 TVL 0.6% 的 Falcon Finance（TVL 16 亿美元）；治理结构未披露、母公司曾遭 DNS 劫持的 Grove Finance（TVL 28.7 亿美元）；以及 2/3 多签、零时间锁、匿名团队的 Camelot。

这些协议今天没有出事，并不代表它们是完全安全的，很可能只是攻击者还没有找到切入口。

# **攻击一个合约的成本只要 1.22 美元？**

「加密遭黑客攻击的发生频率已达到历史最高水平。我认为这与 AI 有关。AI 正在赋予黑客「黑暗的超能力」。防御必须尽快跟上，我们已经没有时间了。」Bankless 联合创始人 Ryan Sean Adams 警告道。

去年 10 月，Anthropic 研究人员做了一组实验，让 Sonnet 4.5 和 GPT-5 扫描 2849 个刚部署、没有任何已知漏洞的真实智能合约。两个模型各自独立发现了 2 个此前未知的零日漏洞，并生成了对应的攻击方案，模拟获利 3694 美元。GPT-5 完成这一切的 API 成本约为 3476 美元。不到 3500 美元的算力，就能在真实部署的合约里挖出新洞。

更令人警觉的是成本曲线，正如前文所提到的：过去一年，AI 模拟攻击的漏洞利用价值大约每 1.3 个月翻一倍，而生成有效攻击代码所需的 token 成本随着新模型迭代急剧下降。攻击方用同等预算，能得到越来越多的有效攻击。对单个合约的扫描成本，已经降至 1.22 美元。

这意味着什么？任何一个有几千美元算力预算的人，理论上都可以把 AI 代理指向数千个智能合约，让它自动扫描漏洞、生成攻击代码，全程不需要手写任何代码，不需要深厚的安全研究背景。

普通人成为黑客的门槛，大大降低了。

今年 4 月，Anthropic 披露了其内部研发、目前仅限 40 个精心挑选的企业和政府合作伙伴使用的模型 Claude Mythos Preview。它自主发现了主流操作系统、浏览器和密码学库中的数千个零日漏洞，包括 DeFi 协议底层依赖的关键基础设施。其中有一个漏洞在 OpenBSD 系统里潜伏了 27 年，存在于全球关键金融基础设施中，直到这个模型发现它。Mythos Preview 的漏洞利用成功率达 72.4%，而此前任何 AI 模型接近于零。

但 Anthropic 目前拒绝向公众发布这个模型，理由之一正是：如果发布，攻守双方的力量会失衡，黑客事件可能会让行业走向深渊。

另一个落地案例来自 AI 安全公司 Cecuro。他们分析了 2024 年 10 月至 2026 年初被黑的 90 个 DeFi 智能合约，涉及总损失 2.28 亿美元。其专用 AI 安全代理成功识别出 92% 合约中的漏洞，而运行同一底层模型的通用 AI 编程代理只识别了 34%。关键细节是，在这批合约中有数个在被黑之前已经过专业人工审计，而 AI 找到了人类审计员漏掉的洞。

攻击方的武器以指数级速度变强大，而防守方的基础设施明显落后于此。

# **以太坊，可能是最大受害者**

再说回 Kelp DAO 被黑事件。

Kelp 的 rsETH，是以太坊再质押生态的产物。用户把 stETH 存进去，得到 rsETH，rsETH 可以在 Aave 上作为抵押品借 WETH，还可以跨链转移，在 20 多个网络上流通，这是 DeFi 可组合性魔力的展示。

但一体两面的是，攻击者只需要在最薄弱的地方撕开一道口子，整个乐高组合结构就会反向传导：假 rsETH 变成真抵押品，真 WETH 被借走，坏账留在 Aave，恐慌扩散到所有集成了 rsETH 的协议，SparkLend、Fluid、Lido 旗下的 earnETH 全部紧急暂停。

Aave 创始人 Stani Kulechov 第一时间声明：Aave 的合约本身没有被攻破，这是一次外部事件。这是实话。但实话是，Aave 的 WETH 借贷池使用率一度飙至 100%，普通存款人发现自己无法提款，TVL 四天内从 264 亿美元跌至 170 亿美元，流出了将近 100 亿美元，而 AAVE 也代币下跌了约 18%。

> 数据来源：DefilLama

> 数据来源：tradingview

但「Aave's contracts were not exploited」这句话，对那些被困在里面的流动性提供者来说没有任何安慰作用。就像 Cyvers CEO Deddy Lavid 一语道破的那样：「这是 DeFi 可组合性风险的体现，当一个协议的代币被集成到多个平台时，单一漏洞可以级联穿透整个生态系统。」

而这也或许就是以太坊 DeFi 叙事的结构性悖论所在。

以太坊最引以为豪的，是「可组合性」，是金融乐高，任何协议都可以像积木一样叠加。这既是它的核心价值，也是它的核心脆弱。每一层新的协议、每一个新的桥接、每一个新的抵押品类型，都在扩大整个系统的攻击面。而这种扩张，是无法被任何单一审计机构覆盖的。

「Kelp 的攻击者没有打破密码学，也没有找到智能合约的零日漏洞。他们利用了跨链验证器的一个配置选择，骗过了 LayerZero 的消息层，在以太坊主网上无中生有地铸出了 116500 个 rsETH。合约没有坏，是验证层坏了。这个区别至关重要，因为下一波攻击者不需要等待配置错误。他们会有 AI。」Brave New Coin 的分析师 Jason Jones 这样写道。

以太坊在这轮周期的价值叙事，主要有两个。一条是机构端的 RWA 和 ETF 叙事，黑石、摩根士丹利的代币化资产还在以太坊上跑，ETF 资金还在缓慢流入，这套叙述大体还在。但关于「以太坊是 DeFi 的基础结算层」，这个让无数散户持仓 ETH 的基本盘叙事，目前正在经历它最严峻的信任考验。

从市场反应来看，恐慌也确实已经超出了 Kelp 被黑事件本身，开始向整个 DeFi 生态扩散。Morpho、Sky、JupLend 全部出现了提款潮，哪怕它们和 Kelp 一毛钱关系都没有。

显然这是一场信任危机，而不是技术危机。

我们再回到开头那个问题。你在 DeFi 协议里放了多少钱？

好好想想这件事。如果你的回答是「不多，就当玩玩」，那么你可以当无事发生。但如果你的仓位不小，那可能得重新审视 DeFi 行业：DeFi 项目的安全模型是「部署前审计一次」，但如今 AI 现在可以在部署后持续扫、实时找新漏洞，而且越来越便宜。

想清楚这一点后，你会知道我不是在说以太坊没有未来，毕竟以太坊的链没有被黑，Aave 的代码没有漏洞，Uniswap 今天还在正常运行。

你我今天需要重新审视的，不是以太坊本身，而是「just use Aave 就足够安全」这个前提假设。在一个 AI 驱动、可组合性层层叠加的攻击环境里，任何这种假设都已经不再成立。毕竟乐高积木上下游的安全性是能传导的，且没有人能保证所有积木都是绝对安全的。