• 全部
  • 产业
  • Web 3.0
  • DAO
  • DeFi
  • 符文
  • 空投再质押
  • 以太坊
  • Meme
  • 比特币L2
  • 以太坊L2
  • 研报
  • 头条
  • 投资

免责声明:内容不构成买卖依据,投资有风险,入市需谨慎!

2026年第二季度加密黑客损失8.12亿美元:基础设施攻击主导DeFi安全漏洞

2026-07-01 22:07:56
收藏

2026年第二季度是加密货币用户近年来损失最为惨重的三个月之一。在4月至6月期间,DeFi协议、交易所、桥梁及区块链基础设施共记录了至少124起独立黑客攻击事件,从钱包、金库和流动性池中盗取了总计8.121亿美元。

这一季度尤其值得研究的原因不仅在于损失规模,更在于损失的分布极不均衡。仅4月一个月就占据了整个季度近80%的损失,这主要归因于两起超过5亿美元的大型黑客攻击。相比之下,5月和6月则呈现不同面貌:单次损失较小,但事件数量稳步上升,表明攻击者虽然目标更小、更易得手,但撒网范围却在扩大。

本报告利用三个月期间收集的经过验证的事件数据,全面回顾2026年第二季度的整体情况,涵盖每一场黑客攻击、每一条区块链以及每一种攻击技术,以便建设者、投资者和普通加密货币用户准确了解风险集中所在,以及这对他们未来管理资金意味着什么。

虽然本报告将第二季度作为一个整体进行分析,但每个月的情况各不相同。希望更深入了解这些趋势背后事件的读者,可以参考我们的详细报告。

总体情况:三个月损失8.12亿美元

综合4月、5月和6月的数据,具体如下:

2026年4月:38起事件,损失6.489亿美元
2026年5月:41起事件,损失8420万美元
2026年6月:45起事件,损失7910万美元

仅4月就约占整个季度损失的80%,而5月和6月合计仅占略超20%。这种模式在加密货币安全数据中反复出现:少数灾难性的大额黑客攻击往往能掩盖数十起较小规模的攻击。事实上,本季度排名前三的黑客攻击就占了第二季度总损失的76.3%,这意味着绝大多数经济损失仅来自少数几起事件,而非攻击数量本身。

尽管如此,攻击数量依然重要。事件数量在整个季度中稳步上升,从4月的38起增加到5月的41起和6月的45起,尽管美元金额大幅下降。这种分化值得深思:攻击者在5月和6月并未放缓,而是在本季度早期针对大型基础设施得手后,转向了更小、更容易得手的目标。

对于普通用户而言,这一趋势提醒我们,黑客攻击的频率并不会因为头条数字减少而下降。在整个第二季度,中型和小型协议持续遭受攻击,每起事件的中位损失金额为253,250美元,这一数字远比那些引人注目的九位数极端值更能代表“典型”黑客攻击的规模。

2026年第二季度最大黑客攻击事件

4月份有两起黑客攻击远高于本季度其他事件,均超过2.9亿美元:

Drift Trade(4月,Solana):2.95亿美元。管理员账户被入侵加上代币价格操纵,导致本季度最大单笔损失之一。
Kelp(4月,Solana):2.93亿美元。规模与Drift Trade几乎相当,尽管事件数量极少,却将Solana推至本季度受影响最严重的区块链之首。
Humanity(6月,基于以太坊):3200万美元,是6月份记录的最大单笔损失。
Rhea Lend(4月,NEAR):1840万美元,源于借贷协议中的逻辑和滑点漏洞。
Superfortune / $GUA(5月):1518万美元。
Grinex(4月):1500万美元。
Verus-Ethereum桥(5月):1150万美元,再次提醒跨链桥仍是攻击者的热门目标。
Thorchain DEX(5月):1000万美元。
Syscoin桥(6月):800万美元。
JaredFromSubway(6月):750万美元。

请注意损失在榜单顶部的集中程度。排名第二的黑客攻击(Kelp,2.93亿美元)与排名第三的(Humanity,3200万美元)之间差距巨大,几乎相差9倍。这是加密货币黑客攻击数据中的一个反复出现的特征:少数主流平台的基础设施级别故障就能单独定义一个季度的总损失,而榜单其余部分则是中型DeFi协议损失从几百万到几千美元不等。即使是本季度第十大事件——JaredFromSubway的750万美元漏洞利用,也表明基于授权的攻击仍然可能导致数百万美元的损失,尽管其受到关注的程度远低于本季度的超级黑客攻击。对于较小或较新协议的用户而言,这并不意味着风险更低,只是意味着损失分散在更多受害者身上,而非集中在一处。

哪些区块链受损最严重?

按区块链划分损失(考虑跨多链事件),可以揭示一个有趣的现象:钱到底在哪里消失,以及事件数量在哪里最高。

Solana:2.992亿美元(占第二季度总损失的36.8%)。尽管仅与少数几起事件相关,但Drift Trade和Kelp黑客攻击的巨大规模将Solana推至损失榜首位。
以太坊:2.310亿美元(28.4%)。以太坊本季度的事件数量遥遥领先于其他链,这既反映了其在DeFi活动中的主导地位,也反映了其上部署的智能合约的庞大攻击面。
Arbitrum:1.483亿美元(18.3%)。事件数量较少,但其中几起金额很高,包括闪电贷和预言机操纵漏洞利用。
BSC(BNB智能链):3320万美元(4.1%)。事件数量本季度第二高,主要由许多小额黑客攻击主导,而非少数大额事件。
NEAR:2190万美元(2.7%),BNB Chain:1120万美元(1.4%),Tron:940万美元(1.2%),以及其他链(Sui、Bitcoin、Monero、Base、Polygon、Secret、TON等)的长尾,合计占剩余损失的7.1%。

这里的结论需要仔细解读。Solana的榜首排名实际上是由两起异常事件造成的,而非链本身的系统性弱点;Solana本季度并没有异常多的黑客攻击次数。相比之下,以太坊在整个第二季度持续遭受攻击,这与其拥有最大、最复杂的DeFi生态系统的地位相符。BSC的模式——事件多但单次损失相对适中——反映了其推出新协议(通常审计较少)的准入门槛较低。

实际出了什么问题:攻击类别与技术

具体来看有明确分类的事件(4月和6月数据,涵盖124起总事件中的83起),其中一类占据主导地位:基础设施故障。

基础设施相关攻击:6.3998亿美元,占第二季度总损失的78.8%。这包括管理员密钥被入侵、后端系统被利用,以及中心化故障点被直接接管,而非链上智能合约代码被利用。
协议逻辑漏洞:6910万美元,占第二季度总损失的8.5%。这些是协议智能合约实际编码中的缺陷:闪电贷价格操纵、退款逻辑缺陷、费用计算错误以及合约本身存在的类似错误。
其他分类类别,包括交易所级别入侵、桥漏洞利用、供应链攻击和智能合约漏洞,合计占剩余损失的2.3%。

这是整个季度数据中最重要的发现之一:第二季度绝大多数美元损失来自基础设施和访问控制故障,而非复杂的智能合约漏洞。换句话说,大部分资金被盗并非因为攻击者发现了复杂DeFi数学中的某些绝妙漏洞,而是因为有人获得了管理员密钥、特权账户或本应受到更好保护的中心化系统的控制权。

纵观整个季度,按事件数量(而非美元价值)统计,最常重复出现的攻击技术包括:

智能合约漏洞:9起
访问控制漏洞:7起
私钥泄露/私钥泄露:合计7起
闪电贷价格操纵:3起
管理员密钥泄露、闪电贷漏洞、逻辑漏洞、桥验证绕过:各2起

这证实了美元价值分解中所见的模式:与访问相关的故障(私钥、管理员控制、白名单绕过)在整个季度中频繁出现,无论是在事件频率还是造成的损失规模上。基于闪电贷的操纵虽然不那么频繁,但仍然是攻击者针对价格预言机和借贷逻辑的可靠手段。

在编程语言方面,在124起可识别语言的事件中,基于Solidity的合约占54起已知语言黑客攻击中的45起(83%),这并不令人意外,因为Solidity在以太坊、BSC、Arbitrum、Polygon以及大多数EVM兼容链中占主导地位。基于Rust的协议(常见于Solana和NEAR)占比较小,偶有事件出现在基于Move、Cairo、Java和JavaScript的系统中。

解读弦外之音:2026年第二季度告诉我们的

当退一步审视这三个月的全貌时,几个清晰的模式浮现出来:

少数灾难性黑客攻击就能定义整个季度。仅4月在Solana上的两起事件——Drift Trade和Kelp——就比5月和6月的总和还多。这提醒我们,如果不看损失的集中程度,头条的“月度损失”数字可能会极具误导性。

事件频率持续攀升,即使美元损失下降。从4月的38起事件增加到6月的45起,表明攻击者并未放缓。他们只是在最大的“战果”发生后,转向了数量更多、通常更容易得手的目标。

很少是那种戏剧性的“黑客攻击”。第二季度近79%的已分类损失源于基础设施和访问控制故障,例如密钥泄露、管理员权限管理不善以及中心化薄弱环节,而非复杂的密码学突破。这对于协议应如何优先安排安全预算至关重要:多签设置、硬件安全模块以及严格的密钥轮换策略很可能已经阻止了本季度大部分美元损失。

以太坊在事件数量上的主导地位反映了其在使用量上的主导地位。更多的活动自然意味着更大的攻击面,基于以太坊(及兼容)的协议遭到攻击的频率远高于其他生态系统,即使最大的单笔损失发生在别处。

中位损失比头条总数更能反映真实情况。中位事件损失仅为253,250美元,第二季度“典型”黑客攻击的规模远不及Drift Trade或Kelp。大多数被攻击的协议损失金额在数万或数十万美元之间,对于较小的团队及其用户而言这仍然是毁灭性的,但当讨论被九位数的极端值主导时,这些很容易被忽视。

这对加密货币用户意味着什么

如果你在DeFi协议中持有资金、使用桥接或定期与智能合约交互,本季度的数据提供了几个实际建议:

优先选择具有强访问控制实践的协议。由于基础设施和密钥泄露故障造成了第二季度绝大多数美元损失,协议的操作安全性(多签金库、时间锁、有限的管理员权限)与其智能合约审计历史同样重要。

不要因为较小的协议“目标较小”就认为它们“更安全”。仅6月就发生了45起独立事件,其中许多发生在较小或较新的协议上。攻击者显然没有只盯着最大的名字。

桥接仍然是一个持续的薄弱点。Verus-Ethereum桥和Syscoin桥均出现在本季度十大黑客攻击中,延续了跨链基础设施风险过高的长期趋势。

分散投资,避免在任何单一协议中集中大量资金,无论其区块链或声誉如何。Drift Trade和Kelp的损失规模表明,即使是知名、广泛使用的平台也无法幸免于灾难性失败。

结论

2026年第二季度的特征并非新攻击技术的爆发,而是多年来困扰加密货币安全的相同根本弱点:密钥泄露、弱访问控制以及中心化故障点,只是以更大规模上演。4月份在Solana上接连发生的两起超过2.9亿美元的事件将季度总损失推至8.12亿美元以上,而5月和6月则表明,即使在“相对平静”的月份,仍有数十个协议每隔几周就遭到攻击。

对于一个以去中心化为傲的行业而言,数据是一个尖锐的提醒:本季度最大的威胁并非来自破解密码学或超越智能合约逻辑,而是来自谁控制密钥这一老式问题,这是一个每个协议——无论大小——都可以并且应该积极致力于解决的问题。

与之前的报告相比,第二季度强化了许多相同的安全教训,尽管损失分布有所不同。基础设施弱点、凭证泄露和访问控制故障仍然是造成经济损失最大的事件,这再次表明操作安全与智能合约安全同样重要。

免责声明:

本网站、超链接、相关应用程序、论坛、博客等媒体账户以及其他平台和用户发布的所有内容均来源于第三方平台及平台用户。百亿财经对于网站及其内容不作任何类型的保证,网站所有区块链相关数据以及其他内容资料仅供用户学习及研究之用,不构成任何投资、法律等其他领域的建议和依据。百亿财经用户以及其他第三方平台在本网站发布的任何内容均由其个人负责,与百亿财经无关。百亿财经不对任何因使用本网站信息而导致的任何损失负责。您需谨慎使用相关数据及内容,并自行承担所带来的一切风险。强烈建议您独自对内容进行研究、审查、分析和验证。

展开阅读全文
0.00% 100.00%
利好
利空
更多新闻
自选
我的自选
查看全部
市值 价格 24h%