作者：币百科

2026年第一季度的DeFi安全数据出炉了。DefiLlama的统计显示，34个DeFi协议在这个季度被黑客入侵，总损失约1.686亿美元。

单看数字吓人，但去年同期是15.8亿美元，今年直接跌了将近90%！

当然，去年那个数字有一半以上是Bybit交易所被黑14亿美元撑起来的，排除掉这个极端事件，DeFi本身的损失也在收窄。

2025年第一季度的纯DeFi攻击损失大约在1.64亿到3.48亿美元之间（不同机构统计口径不同），2026年第一季度的1.69亿美元基本持平甚至略有下降。

所以比去年同期大幅下降这个判断，整体上成立，但更准确的说法是：整体加密行业损失大幅下降，DeFi自身损失基本与去年持平。

最大的一笔：Step Finance，4000万美元

1月31日，Solana上的投资组合管理平台Step Finance被黑，损失约4000万美元。

攻击方式不是什么高深的合约漏洞，而是最原始也最致命的手段——黑客入侵了高管的设备，拿到管理权限后直接转走了国库里的261,854个SOL（当时约3000万美元，加上其他资产总计接近4000万）。

2月下旬，Step Finance宣布永久关停。

这个案例再次说明：合约审计做得再漂亮，私钥管理出了问题，一切白搭。而且这里不是简单的私钥丢了，而是社会工程学攻击，目标是人不是代码。

第二名：Truebit，2640万美元

1月8日，以太坊上的计算验证协议Truebit被攻击者利用一个整数溢出漏洞，几乎免费铸造了大量TRU代币，然后销毁代币抽走协议价值。损失约2650万美元（8,535个ETH）。

事后审计发现，漏洞来自旧版Solidity编译器的遗留问题。SlowMist的分析报告说，这是一个相对简单的溢出漏洞。TRU代币价格因此暴跌99%。

这起事件让人不舒服的地方在于：Truebit不是什么新项目，合约部署时间不短了，按理说该审计的都审计过了。但问题偏偏出在旧代码上。时间久了，安全团队会换，审计报告会过时，那些曾经被认为没问题的代码，在新环境下可能就变成了突破口。

第三名：Resolv Labs，2500万美元

3月22日，稳定币协议Resolv Labs被攻击。攻击者先存入约30万美元USDC，然后通过被入侵的后端账户，利用协议 completeSwap 函数中铸造数量未在链上验证的缺陷，凭空调出了8000万个USR代币，套现约2500万美元。回报率超过80倍。

这起事件的本质还是私钥泄露——拥有 SERVICE_ROLE 权限的后端地址被入侵。但有意思的是，它在技术层面是一个混合型攻击：既需要私钥权限，又需要理解合约逻辑才能构造攻击交易。攻击者的专业程度可见一斑。

更糟的是，这起事件引发了连锁反应。USR脱锚后，在Morpho等借贷协议上产生了大面积的坏账，PeckShield将其称为影子传染效应。

其余值得关注的事件

• SwapNet（1月）：约1340万美元。智能合约存在任意调用漏洞，但代码是闭源的，具体漏洞细节至今不明。

• YieldBlox DAO（2月）：约1100万美元。预言机操纵攻击，发生在Stellar链上，追回了约720万美元，是本季度为数不多有部分追回的事件。

• SagaEVM（1月）：约700万美元。从Ethermint继承的EVM预编译桥漏洞，典型的供应链攻击。

• IoTeX（2月）：约430万美元。私钥泄露。

• MakinaFi（1月）：约410万美元。Curve资金池逻辑漏洞。

• Aperture Finance（1月）：约400万美元。与SwapNet类似的任意调用漏洞。

攻击方式在变

看一下本季度前三大事件的攻击类型分布，有个明显的特征：

前三大事件中，两起涉及私钥泄露，占损失总额的38.5%。如果把SwapNet和IoTeX也算上，与密钥/权限管理相关的事件至少有四起。

但在另一面，纯智能合约漏洞攻击（如Truebit的整数溢出、SagaEVM的供应链攻击）依然在发生，且造成的单笔损失不小。这说明光靠合约审计也不够，旧代码、旧编译器版本、第三方依赖，都可能成为定时炸弹。

攻击者确实在变得更精准。2025全年整个加密行业因黑客攻击损失约34亿美元（Chainalysis数据），其中朝鲜黑客就占了20.2亿。当国家级攻击者进场，攻击专业化程度提高就不是一个模糊的感觉，而是正在发生的事实。

对用户的实际建议

写了很多技术细节，但落到操作层面，其实就几条：

• 第一，不要把所有资金放在DeFi里。这不是什么新观点，但每次看到这种季报，我都会再提醒一遍。DeFi协议的资金池就那么放在链上，代码可见、地址公开，天然就是攻击者的靶子。拿一部分资金去参与没问题，但全押上去，等于把自己暴露在0到100之间任何一个概率点上。

• 第二，关注协议的权限管理方式。Step Finance和Resolv Labs的教训很直接：如果协议的核心操作（比如铸造代币、转移国库资金）只需要一个私钥就能完成，风险就很高。多签、门限签名、时间锁这些机制看起来笨重，但关键时刻能救命。

• 第三，分散。不只是在不同协议之间分散，也包括不同链之间。本季度的15起事件分布在7条链上，以太坊占了7起（近一半），Solana和BNB Chain各有2起。集中任何一条链或任何一个协议，都是在增加单点风险。

• 第四，已经出过大事的项目，远离。Truebit被黑后TRU跌了99%，Step Finance直接关停了。即使技术问题后来修复了，信任一旦崩塌，代币价值很难回来。Cointelegraph在一篇安全报告里提到，被黑项目的代币平均跌幅超过61%，且很少能恢复。

结语

2026年第一季度的DeFi安全状况，说变好了有点勉强，说没变差大概更准确。损失总额与去年持平，事件数量（34起）比一些安全机构统计的15起多，可能是因为统计口径不同，DefiLlama会把更小的事件也算进去。

但是，2026年第一季度还没过完的时候，4月1日Drift Protocol又被黑了约2.8亿美元，一天就超过了整个第一季度的DeFi损失。安全这条赛道上，攻防双方永远在赛跑。

免责声明：请读者严格遵守所在地法律法规，本文内容基于市场公开资料整理仅供参考，不构成任何投资建议。