作者: Darko ,IOSG
2026 年 4 月 1 日,UTC 时间 16:05:18,攻击者向 Drift Protocol 提交了一笔交易。一秒后,另一笔交易批准了它。十二分钟后,2.85 亿美元不翼而飞。十七天后, KelpDAO 跨链桥上的一个被入侵的验证者凭一己之力铸造了 2.92 亿美元的无支撑代币,并在 48 小时内引发 Aave 约 85 亿美元的资金外流,DeFi 其他协议也流出了约 45 亿美元。又过了十二天,一名持有被盗部署者私钥的攻击者跨四条链从 Wasabi Protocol 抽走了 450 万美元。
这些事件没有一起是因为利用了智能合约漏洞。
DeFi 大半个十年都笃信,安全是一个代码问题。审计、形式化验证、漏洞赏金——整个行业是围绕一个前提自我组织起来的:只要智能合约逻辑严密,协议就安全。数学即法律。 2026 年 4 月就是这个前提在公众视野中崩塌的月份。 单月跨约 30 起事件累计被盗超过 6.25 亿美元——根据 DefiLlama 的数据,按事件数计这是加密史上被黑最严重的一个月——而每一笔重大损失都追溯到管理员私钥、跨链桥验证者、预言机盲区或社会工程攻击,全都是审计从未被设计来覆盖的运营底座。
本文要讲的就是这场迁移。我们会把 4 月三起严重黑客事件拆成同一种底层失败的三副面孔,复盘一家协议的错误跨链桥配置如何引发了一家体量比它大 25 倍的协议产生 132 亿美元外流,并坦率地审视 DeFi 现在的真实面貌—,它实际上是带有受信运营杠杆的开放基础设施,哪怕营销话术上不这么说。问题不出在数学。问题出在围绕数学的「心智模型」上。
数学没坏。坏的是套在数学之上的心智模型,而这种错位的代价正在迫使行业重新审视「去中心化」究竟意味着什么。
在 DeFi 的大部分历史中,主流安全文化是基于 solidity 的。审计审查合约逻辑。漏洞赏金为重入、整数溢出、访问修饰符错误买单。形式化验证为链上代码证明不变量。隐含假设是:合约之外的一切——多签、部署者私钥、跨链桥验证者、Relayer 基础设施、团队沟通渠道——要么不在范围内,要么是别人的问题。
这个假设仅仅在攻击者们在利用 Solidity 漏洞时才是成立的。
2026 年 4 月的几起黑客事件有一个审计报告无法描述的结构特征:智能合约本身没有漏洞。 据独立链上研究者的复盘,Drift 的代码在 2022 年由 Trail of Bits、2026 年 2 月由 ClawSecure 各做过一次审计,两份都通过了。两份审计都没有覆盖 Drift 的多签配置、durable nonce 处理逻辑,也没有覆盖围绕其 Security Council 的社会工程攻击面。KelpDAO 的 LayerZero 适配器是标准的 OFT 模板代码,合约本身没有任何问题。错误出在部署配置上,而这通常不在 Solidity 审计的常规范围内。Wasabi 的 Vault 合约是按设计可升级的;设计本身就是漏洞。
4 月崩掉的不是数学,是数学赖以运行的运营底座。
二、三宗解剖:同一种失败的三副面孔
