网络安全、智能合约审计和最佳实践
查看所有标签
当北韩的拉撒路集团(Lazarus Group)在 2026 年 4 月 18 日卷走价值 2.92 亿美元的 rsETH 时,几乎所有人都预料到了常规的操作剧本:Kelp DAO 吸收损失,Aave 的存款人承担坏账,或者某个亿万富翁支持者像 2022 年 Jump Crypto 为 Wormhole 所做的那样,悄悄签下一张支票。然而,事实并非如此。相反,七个原本竞争激烈的 DeFi 巨头协议共同向一个名为“DeFi United”的单一恢复基金注入了约 10 万枚 ETH,并悄悄改写了加密行业处理自身灾难的规则。
数额庞大,背后的政治博弈更为宏大,而这一先例可能是该行业多年来产生的最重要的成果。
这场耗资 2.85 亿美元的劫案仅用时 12 分钟。而前期准备则历时六个月。
当攻击者在 UTC 时间 2026 年 4 月 1 日 16:05 掏空 Solana 上最大的永续合约 DEX —— Drift Protocol 时,他们并没有利用智能合约漏洞,没有操纵预言机,也没有破解任何加密算法。他们只是提交了两笔该协议自身安全委员会(Security Council)已经签署过的交易。就在四个月前的 2025 年 12 月,这些攻击者以一家“量化交易公司”的身份大摇大摆地进入了 Drift 的大门,存入了超过 100 万美元的自有资金,参加了与贡献者的工作会议,并在各大洲的行业会议上与团队成员握手言欢。他们不是陌生人,不是恶意 URL,也不是匿名的钱包地址。他们是同事。
这是加密货币领域最危险对手的新面孔,它理应重塑 DeFi 在防御假设上的每一项认知。Drift 漏洞背后的北朝鲜操作者——极有可能是 TraderTraitor / UNC4736(与 15 亿美元 Bybit 窃案有关的 Lazarus Group 分支)——并不需要攻破 Drift 的审计、治理或多签(multisig)。他们只需要足够的耐心来赢取信任。
链上证据读起来像一部惊悚片。根据 Drift 的事故回顾 和 BlockSec 的法证重构,攻击者在 2025 年底建立了自己的伪装:他们在 Drift 上入驻了一个“生态系统金库”(Ecosystem Vault),提交了交易策略文档,并参加了与协议贡献者的多次工作会议。到 2026 年 2 月和 3 月,Drift 的团队成员在重大的行业会议上与这些对手进行了面对面的交流。到攻击发生时,这种关系已经维持了近六个月——这早已超过了大多数安全团队将交易对手视为外部人员进行审查的门槛。
技术执行利用了一个特定的 Solana 原语:持久化 nonce (durable nonces)。与以太坊不同,以太坊的每笔交易必须引用最近的区块哈希(blockhash)并在约 150 个时隙(slots)内过期,而 Solana 的持久化 nonce 允许用户在今天签署交易,并在几天甚至几周后广播。该功能专为离线签名、定期拨款和国库工作流而设计——这些便利功能在富有耐心的对手手中变成了定时炸弹。
2026 年 3 月 23 日,四个持久化 nonce 账户出现在链上——其中两个与 Drift 安全委员会成员相关联,两个由攻击者控制。到那时,五名委员会签署人中的两名已经批准了与这些 nonce 相关的、看起来无害的交易。凭借 2/5 的阈值,攻击者已经预先收集到了夺取管理控制权所需的批准。3 月 27 日计划中的委员会迁移曾短暂地使这些签名失效,但到 3 月 30 日,一个与新多签成员相关联的新持久化 nonce 账户出现了——攻击者只是在新配置下重新收集了满足阈值的签名。
随后 4 月 1 日到来。UTC 时间 16:05:18,第一笔预签名交易提议转移管理密钥。一秒钟后,第二笔预签名交易批准了该提议。安全委员会实际上在几个月前就签署并交出了自己的密钥,而他们从未意识到这些签名最终会被组合成什么样的交易。
Drift 事件被归类为“多签受损”(multisig compromise),但这个标签掩盖了真正破裂的地方。多签治理的前提是:获取阈值数量的签名要么需要破解不同的密钥(极难),要么需要协调不同的个人来批准同一个恶意行为(非常难)。持久化 nonce 瓦解了第二个假设:签署者可能会被诱导,在相隔数周的时间里逐一批准攻击的片段交易,而完全没有意识到他们的个人签名最终会被组装成一个致命的序列。
这就是 BlockSec 所说的 交易意图差异 (transaction-intent gap):钱包和签名界面 (UI) 向签署者展示了他们正在签署的字节内容��,但很少展示这些字节一旦与攻击者控制的其他签名相结合后,会产生怎样的完整语义后果。传统的防御措施——“增加签署人、使用硬件钱包、仔细审查”——并不能解决根本问题,因为每个签署人的操作在个体层面都是正确的。但系统作为一个整体仍然失败了。
更糟糕的是,攻击者根本不需要窃取任何签署人的密钥。比起偷走硬件钱包的助记词,通过网络钓鱼或社交工程诱导忙碌的贡献者批准一个看似良性的持久化 nonce 交易要容易得多。正如一位 Drift 内部人士在 被盗后告诉 DL News 的那样,这对 DeFi 来说是一个令人不安的教训:“我们必须走向成熟,否则我们就不配成为金融的未来。”
要理解为什么 Drift 攻击的意义不仅限于 Drift 本身,需要观察朝鲜加密货币行动的轨迹。
2025 年,朝鲜(DPRK)攻击者通过 30 多起事件窃取了 20.2 亿美元 —— 占所有服务入侵事件的 76%,并使该政权自开始追踪以来的累计加密货币盗窃总额超过了 67.5 亿美元。那一年的标志性事件是 2025 年 2 月发生的 15 亿美元 Bybit 盗窃案,这仍是史上规模最大的单笔劫案。Bybit 攻击利用了通过受损的 Safe{Wallet} 开发者机器交付的恶意 JavaScript 注入 —— 这是一种复杂的供应链技术,但仍属于外部攻击:攻击者从未出现在 Bybit 的工资单上,从未参加过他们的会议,也从未与他们的团队建立过关系。
对比一下 2026 年。4 月 18 日,KelpDAO 被盗走约 2.9 亿美元,初步归因再次指向 Lazarus。Drift 损失了 2.85 亿美元,并需要 Tether 领投的 1.5 亿美元救助 来确保存款人的资金安全。这两起攻击都涉及内部人员潜伏,这对于 2022 年那种“砸窗抢劫”式的 Lazarus 来说是不可想象的。
这种转变是结构性的。Lazarus 传统的加密货币策略 —— 以 Ronin 桥(6.25 亿美元,2022 年) 和 Bybit 为代表 —— 依赖于穿透周界防御:向工程师发送恶意的 LinkedIn 职位邀请、武器化的 PDF 简历、开发工具的供应链入侵。这些攻击手段仍然有效,但成本正在变得越来越高。随着越来越多的协议部署硬件钱包、多签和密钥仪式规范,从外部攻入的成本上升。相比之下,被“邀请”进入内部的成本却在下降 —— 因为加密行业招聘速度快、全球化且倾向于匿名招聘。
Drift 遭受的入侵正处于朝鲜两个计划的交汇点,而直到最近,这两个计划一直被视为独立的威胁:Lazarus 的精英黑客单位和该政权庞大的远程 IT 工作者计划。
2026 年 3 月,美国财政部海外资产控制办公室(OFAC)制裁了 6 名与朝鲜有关的个人和 2 个实体,原因是他们策划了欺诈性的 IT 就业,仅在 2024 年就产生了近 8 亿美元的收入,用于资助该政权的大规模杀伤性武器和弹道导弹计划。受制裁者包括总部位于越南的 Quangvietdnbg International Services 的首席执行官 Nguyen Quang Viet,据称他在 2023 年至 2025 年间为朝鲜攻击者将约 250 万美元兑换成了加密货币。
其规模令人震惊。一项 最近由以太坊基金会资助的调查发现了 100 名目前嵌入加密货币公司的朝鲜特工,而联合国专家小组长期以来估计有数千名朝鲜国民在世界各地的公司远程工作。CNN 在 2025 年 8 月的调查发现,朝鲜特工已经渗透到几乎所��有财富 500 强公司的供应链中,通常是通过“协助者” —— 通常是愿意有偿在自己家中放置笔记本电脑的美国人,为特工登录提供美国 IP 地址。
战术也已不再局限于被动就业。根据 Chainalysis 的分析,朝鲜特工已转向 冒充知名 Web3 和 AI 公司的招聘人员,构建具有说服力的多公司“职业门户”,并利用由此获得的访问权限引入恶意软件、窃取专有数据,或者像 Drift 的案例那样,建立受信任的业务关系,并在几个月后获得回报。
检测很难,但并非不可能。SpyCloud 和 Nisos 记录了反复出现的模式:AI 生成的个人头像、不愿视频露面、要求仅通过加密货币支付、居住地声明与 IP 地理定位不符、拒绝使用公司提供的设备,以及严重依赖出生年份、动物、颜色和神话的电子邮件账号命名习惯。这些信号中没有一个是决定性的。但结合在一起,它们构成了一个任何 DeFi 招聘经理都应该烂熟于心的特征分析。
Drift 事件最令人不安的启示是,整个 DeFi 安全栈是针对完全不同的威胁模型设计的。
智能合约审计检查的是代码,而非贡献者。 来自 Trail of Bits、OpenZeppelin 或 Quantstamp 的干净审计报告只能说明协议的字节码符合其声明的功能。它无法告诉你谁持有管理员密钥,谁可以调用升级函数,或者谁潜伏在安全委员会(Security Council)成员协调签名的 Discord 频道中。Drift 的合约没有被攻击。被攻击的是人。
多签治理假设签名者是诚实的。 2/5 或 4/7 的多签机制可以防范单个密钥泄露或单个恶意内部人员。但它无法防范精心策划的社会工程学攻击——这种攻击可以诱骗多位合法签名者在数周内,通过预签名的持久化 Nonce(durable nonce)交易批准攻击碎片。如果攻击者拥有无限的时间和可信的商业掩护,即使将门槛提高到 5/9,也只能让攻击者的工作难度略微增加。
KYC 和背景调查在伪造身份面前无能为力。 国家级代理人使用被盗的美国身份、AI 生成的照片和洗白的就业履历,足以通过标准核验。美国财政部 2026 年 3 月的制裁令特别指出了这些网络对“合规交易所、托管钱包、DeFi 服务和跨链桥”的使用——而这些正是行业其他成员认为安全的、经过 KYC 评级的底层设施。
匿名贡献者是一项特性,而非缺陷——直到出事为止。 DeFi 文化推崇匿名性。该领域许多最受尊敬的开发者都使用别名,通过 GitHub 提交记录和 Discord 账号进行贡献,从未与同事线下见面。这种文化与 Drift 威胁模型是不兼容的,因为在该模型中,长达六个月的信任建立恰恰是攻击者的核心投入。
Drift 不是故事的终结,而是一个模板。任何拥有管理员密钥、治理多签或巨额国库风险敞口的协议,现在都容易受到同样套路的攻击。通过事后分析,业界已经总结出几项实用的硬化措施。
交易级意图验证,而非签名者级信任。 诸如 BlockSec 的交易仿真、Tenderly Defender 和 Wallet Guard 等工具,可以在签名者批准之前,揭示交易的完整经济影响——包括跨现有 Nonce 的潜在恶意影响。那种“只签名一段哈希”的默认用户体验(UX)必须终结。
针对治理操作设置激进的时间锁。 对管理员密钥转移、合约升级和国库资金变动设置 24 到 72 小时的时间锁,可以给社区发现异常提案留出缓冲。Drift 的管理员权限移交仅通过间隔一秒的两笔交易就完成了。如果是 48 小时的延迟,安全委员会就有 48 小时的窗口期来察觉他们即将失去控制权。
带有操作隔离的硬件安全模块(HSM)。 HSM 可以防止被入侵的开发者电脑提取签名密钥,但它们无法防止持久化 Nonce 滥用。应将 HSM 与强制性的多方计算(MPC)工作流相结合,并明确禁止在治理角色下对持久化 Nonce 进行签名。
高信任角色的线下验证。 朝鲜(DPRK)的攻击手册依赖于纯远程雇佣。要求拥有管理员权限、审计特权或国库职责的人员必须在线下现身——无论是在会议、办公室还是通过公证的面对面会晤——都能极大地提高攻击者的操作成本。(Drift 的攻击者�确实与贡献者进行了线下会面,但这发生在长期的线上铺垫之后,旨在让会面看起来像常规业务往来。线下验证只有在作为初始信任的门槛时才有效,如果只是用来确认已经建立的关系,则收效甚微。)
贡献者信誉系统和链上身份证明。 Worldcoin 人格证明、Gitcoin Passport 以及类似系统虽然并不完美,但它们提高了伪造身份的成本。一个可信的身份需要拥有多年的链上历史、知名贡献者的背书以及跨协议的可验证活动。
安全关键角色的公开招聘透明化。 协议应形成一种准则,公开披露谁持有管理员密钥、谁在安全委员会任职以及谁拥有审计权限——即使这些人使用匿名身份。这种做法可以建立全社区的可见性。如果在漏洞利用发生前两周,一个五人安全委员会悄悄加入了一名新成员,这正是未来调查应该重点关注的模式。
Drift 事件是 DeFi 自 2022 年以来一直拖延的一课所支付的 2.85 亿美元学费:协议安全不等同于代码安全。代码可以通过审计、模糊测试、形式化验证和漏洞赏金来达到合理的鲁棒性。但人——那些持有密钥、批准升级并塑造治理的开发者、签名者、贡献者和合作伙伴——无法以同样的方式被审计。
朝鲜已经注意到了这一点。2025 年向 Bybit 发送恶意 Safe{Wallet} JavaScript 载荷的同一个政权,在 2026 年向 Drift 派出了一个精练的商业开发团队。下一次攻击不会像其中任何一个。它将伪装成下一个目标尚未学会质疑的任何信任模式。
对于今天的协议构建者来说,实际的问题不是“我们是否容易受到 Lazarus 零日漏洞的攻击”,而是“如果一个成熟的对手花六个月时间成为我们的朋友,他们能偷走多少东西”。如果真实的答案是“我们的大部分 TVL”,那么这就是需要弥补的安全漏洞——在下一个持久化 Nonce 窗口打开之前。
BlockEden.xyz 为 Sui、Aptos、Solana、Ethereum 以及其他 25 条以上的区块链运行生产级 RPC 和索引器基础设施。我们拥有硬件加固的密钥托管、多方操作控制以及针对后 Drift 威胁环境设计的贡献者核验政策。探索我们的基础设施服务,在能够抵御 2026 年 DeFi 真实对手的坚实基础上进行构建。
2026 年第一季度,DeFi 智能合约漏洞攻击同比大幅下降了 89%。然而加密货币领域仍然损失了约 5 亿美元。如果这听起来有些矛盾,事实并非如此——这是自 The DAO 事件以来,Web3 安全领域最重要的结构性转变。那些定义了加密行业十年头条新闻的漏洞正在得到解决,攻击者只是转移到了更高层级。
Sherlock 的 2026 年第一季度 Web3 安全报告给出了一个惊人的数据:与 2025 年第一季度相比,DeFi 特有的漏洞攻击下降了约 89%。这是审计、形式化验证和经受过实战检验的代码正在发挥作用的最清晰证据。Hacken 的同步统计显示,同一季度 Web3 的总损失为 4.826 亿美元,其中仅网络钓鱼和社交工程攻击就造成了 3.06 亿美元的损失,且仅涉及 44 起事件。行业的重心已经转移,而大多数防御策略仍停留在错误的方向上。
Solana 比任何其他 Layer 1 都更强调一点:速度。400 毫秒的出块时间、65,000 TPS 的营销基准,以及围绕一个假设构建的并行执行模型——即签名很小且验证成本低廉。2026 年 4 月,这一假设遭遇了量子计算机。
当 Project Eleven 和 Solana 基金会完成首次端到端抗量子签名测试时,结果介于警告和危机之间。后量子签名的体积比 Solana 目前使用的 Ed25519 签名大 20 到 40 倍。吞吐量下降了约 90%。这个以超越以太坊为品牌核心的区块链,在测试条件下,突然看起来比它嘲讽了五年的网络还要慢。
这不是普通的性能衰退。这是 Solana 很久以前做出的设计决策所带来的架构性账单——当账单到期时,整个生态系统现在必须决定自己想要成为什么样的区块链。
每个 Layer 1 都使用椭圆曲线密码学对交易进行签名。比特币和以太坊依赖 ECDSA。Solana 使用 Ed25519。两者都很快,都能产生约 64 字节的紧凑签名,并且都依赖于同一个数学硬度假设——椭圆曲线离散数问题。Shor 算法在足够强大的量子计算机上运行,可以在多项式时间内解决该问题。当那台机器出现时,每个受 ECDSA 或 Ed25519 保护的账户都可以在几分钟内被开启。
NIST 标准化的后量子替代方案——如 Dilithium 和 Falcon 等基于格(lattice-based)的方案,以及 SLH-DSA 等基于哈希的方案——在数学上对 Shor 算法具有鲁棒性。然而,它们对带宽并不友好。Dilithium 签名可能达到 2.4 KB。SLH-DSA 根据参数选择可能延伸至 7-49 KB。Falcon 作为最紧凑的 NIST 标准化格方案,产生的签名仍约为 666 字节——大约是 Ed25519 大小的 10 倍,而这已经是“较优”的选择。
对于比特币来说,这种膨胀很烦人。但对于 Solana 来说,这是关乎存亡的。Solana 的吞吐量模型依赖于在 400 毫秒的出块时间内塞入尽可能多的交易,领导者(leaders)通过 Turbine 树传播数据切片(shreds),而该树的大小是基于紧凑载荷设计的。如果将单笔交易签名扩大 20-40 倍,下游的整个流水线——带宽、内存池传播(或其等效的 Gulf Stream)、验证节点验证、账本存储——都要支付同样的倍数。测试中 90% 的吞吐量下降不是软件 Bug。它是当你将 40 倍的字节推入一个为既有容量设计的管道时必然会发生的结果。
大多数区块链量子分析都将所有链混为一谈。它们不应该被归为一类。Solana 存在一个比特币所没有的结构性问题。
在比特币中,你的钱包地址是公钥的哈希值。只要你从未从该地址消费,你的公钥就会隐藏在 SHA-256 墙后面,量子攻击者无从下手。只有在消费的瞬间,公钥才会在链上暴露。那个窗口——从广播交易到被挖出的几秒或几分钟——就是易受攻击的面,而且非常小。
Solana 的运作方式不同。Solana 账户地址就是公钥。没有哈希过程。Ed25519 公钥即地址,从账户获得资金的那一刻起就在链上可见。攻击 Solana 的加密相关量子计算机不需要等待用户进行交易。它可以随时、并行、无限期地攻击任何有资金的账户。
Project Eleven 的分析给出了一个数字:在量子场景下,100% 的 Solana 网络都是脆弱的,而比特币和以太坊只有较小一部分已消费并暴露公钥的地址子集处于暴露状态。这不是一个小细节。它将迁移的紧迫性提高了几个数量级。比特币可以理直气壮地说“如果你不移动你的币,你就是安全的”。Solana 不能。
对这一切的标准反对意见是,能够破解真实加密技术的量子计算机仍需 10-15 年的时间,所以现在没必要恐慌。但 2026 年 4 月的两条新闻让这一反对意见变得难以立足。
首先,一名独立研究人员利用公开可用的量子硬件破解了 15 位椭圆曲线密钥,从而领取了 Project Eleven �价值一个比特币的 Q-Day 奖金——这是迄今为止针对椭圆曲线密码学最大规模的公开量子攻击。15 位不等于 256 位,差距巨大。但这次演示意义重大,因为它标志着跨越了从理论到可执行的门槛,且是在按小时租用的硬件上完成的。
其次,由以太坊基金会研究员 Justin Drake 和斯坦福大学的 Dan Boneh 共同撰写的谷歌量子 AI 论文,大幅下调了破解真实加密货币密钥所需的量子比特估值。之前的共识一直徘徊在 2,000 万个物理量子比特左右。而新的分析显示:少于 50 万个物理量子比特,其中一种设计建议约 26,000 个量子比特的系统即可在“几天内”破解比特币的加密。另一篇由谷歌主导的论文模拟了量子机器在约 9 分钟内从暴露的公钥推导出私钥。
这些仍是未来的系统。IBM 目前最大的芯片是 1,121 个量子比特的 Condor。从 1,121 个嘈杂量子比特到 26,000 个容错量子比特是真实存在的工程挑战,并非一蹴而就。但时间表被压缩了,而压缩时间表的人正是制造这些机器的研究人员。对于管理加密资产托管的机构来说,“现在存储,以后解密”的风险——即今天捕获链上公钥以便在硬件成熟时进行攻击——已不再是一个假设。
如果量子安全迁移是不可避免的,且 Dilithium 级别的签名膨胀难以承受,那么 Solana 有一个现实的答案:选择最小的 NIST 批准的后量子方案并围绕它进行工程设计。这个答案就是 Falcon。
使 2026 年 4 月 27 日 Solana 基金会路线图变得有趣的地方不在于选择本身 —— 而是 Anza 和 Jump 的 Firedancer 独立选择了 Falcon。这两个旗舰级 Solana 客户端并没有协调这一决定。他们评估了相同的权衡空间 —— 签名大小、验证成本、密码库的成熟度、硬件加速潜力 —— 并最终趋于一致。在两个团队存在诸多分歧的碎片化客户端生态中,这种趋同是一个强烈的信号。
Falcon 是基于 NTRU 的格密码(lattice-based)方案。NIST 将其作为 FIPS 206 的一部分(以 FN-DSA 的名称)进行了标准化。其签名为 666 字节,大约是 Ed25519 的 10 倍 —— 虽然令人心痛,但比 Dilithium 的 2.4 KB 或 SLH-DSA 的数 KB 规模要小一个数量级。验证速度很快。此外,Firedancer 报告称,其流水线中优化的 Falcon 实现运行速度可能比目前的椭圆曲线替代方案 快 2-3 倍,这表明最初 90% 的吞吐量崩塌可能只是最坏情况的上限,而非最终目标。
Falcon 确实存在成本。签名比验证更昂贵 —— 独立基准测试显示,某些后量子方案的签名成本大约是 Ed25519 的 5 倍。Falcon 的签名涉及高斯采样(Gaussian sampling),众所周知,这很难在恒定时间内实现,历史上一直存在侧信道风险。围绕 Falcon 的密码库生态比 ECC 更加年轻。这些都不是致命障碍,但都需要投入工作。
Solana 基金会发布的路线图是分阶段的,且故意模糊了日期:继续研究威胁、评估 Falcon 及其替代方案、在需要时为新钱包��引入后量子签名,然后迁移现有钱包。每一步都包含一个基金会尚未准备好公开讨论的问题。
新钱包是简单的部分。 Solana 可以引入一种新的账户类型,通过功能标志(feature flag)进行限制,并允许用户选择加入。在过渡期内,协议可以同时接受 Ed25519 和 Falcon 签名。
迁移现有钱包才是链面临失败的地方。 Solana 拥有数千万个有资金的账户。每一个都是未来量子计算机攻击者可以瞄准的公钥。迁移要求每个用户构造一笔交易,证明对旧密钥的所有权,并将账户绑定到新的后量子密钥。丢失助记词、弃用钱包或已去世的用户无法进行迁移。随后协议将面临与比特币完全相同的困境 —— 正如 2026 年 3 月围绕 BIP-360 “冻结还是被盗”的辩论中所阐述的那样 —— 即在冻结未迁移账户(有争议)和将其留作建造出第一台密码学相关机器者的“量子免费午餐”(同样有争议)之间做出选择。
经济影响面是巨大的。 SOL 的流通供应量约为 5.4 亿枚代币。很大一部分存在于多年未动过的地址中。市场、DAO、金库、沉睡的巨鲸钱包 —— 每一个最终都需要由可能存在或已不存在的密钥持有者进行链上操作。迁移不是一个技术特性;它是一个多年的协调问题,没有明确的截止日期,没有明确的权威机构,对于错过窗口期的账户也没有明确的补救措施。
三大巨头正从完全不同的起点向抗量子性迈进。
比特币 (BIP-360 / P2QRH):Pay-to-Quantum-Resistant-Hash 创建了一种新的地址类型,使用 Falcon 和 Dilithium 签名,结构类似于 P2TR,但没有量子易受攻击的密钥路径。BTQ Technologies 于 2026 年 3 月在 Bitcoin Quantum Testnet v0.3.0 上部署了 BIP-360。比特币的挑战在于保守主义 —— 达成共识以激活增加新地址类型的软分叉很慢,而且关于迁移的辩论(针对中本聪时代代币的冻结还是被盗)在政治上充满了争议。但比特币的哈希公钥结构为它赢得了 Solana 所没有的时间。
以太坊 (EIP-7701 + EIP-8141):以太坊并非在全协议范围内进行密码学切换,而是利用原生账户抽象。EIP-7701 启用了智能合约账户验证逻辑,而 EIP-8141 允许账户通过抽象层轮换到量子安全认证方案。权衡之处在于:以太坊获得了一条更平滑的迁移路径,没有特定的切换日(flag day),但安全性取决于智能账户的实现,而非统一的协议保证。以太坊可以逐个账户、逐渐迁移,而无需硬分叉。
Solana (Falcon + 分阶段推出):介于两者之间。协议必须原生支持新的签名方案(比以太坊的抽象方法更具侵入性),但每个账户的迁移看起来更像以太坊的渐进模式,而非比特币的地址类型切换。性能约束是其他主流链都没有面临的独特压力。
另一个值得注意的方法:Circle 的 Arc 和类似的量子原生 L1 通过从创世之初就设计后量子签名,完全跳过了改造。他们预先支付了带宽成本,永远不需要迁移。如果 Solana 的 Falcon 迁移拖到 2027-2028 年,而 Arc 级别的链在出厂时就内置了抗量子性,那么目前认为 Solana “足够快”的机构渠道可能会寻找新家。
对于应用开发者来说,直接的实际影响很小。Falcon 迁移将通过标准的 Solana 协议升级落地,开发库将对这些变化进行抽象化处理,大多数 dApp 无需了解其用户使用的是哪种签名方案。更大的二阶效应在于开发者对交易吞吐量、费用可预测性以及账户状态大小的假设。
如果 Falcon 的优化路径能维持 Firedancer 所报告的 2-3 倍提升,Solana 落地迁移时的吞吐量损失可能仅为 30-60%,而非 90%。对于那些围绕 Solana 当前单次交易成本底线构建的高频用例——如永续合约 DEX、链上订单簿、AI 代理执行循环——这仍然具有重要意义。
对于基础设施提供商来说,情况则更为严峻。索引器、RPC 提供商和存档节点运营商需要为随着签名尺寸变大而同步增长的账本数据预留预算。推送账户更新的 WebSocket 订阅在每次事件中将传输更多字节。任何运行 Solana 验证者硬件的人员都需要重新评估 Turbine 传播的带宽假设。
对于正在评估在哪条链上构建长周期基础设施的机构而言,现在的选择变得更加困难。Solana 的速度是其竞争护城河,而量子迁移直接冲击了这一优势。对冲策略是选择那些迁移路径最短、架构成本最低的链。这可能意味着基于 Falcon 的链将优于基于 Dilithium 的链,基于账户抽象的迁移将优于协议范围内的统一切换,而量子原生 L1 将优于改造版——直到真正的量子硬件出现,理论变为现实。
在密码学的背后,隐藏着一个更深层次的问题:迁移之后,Solana 的定位是什么?
该网络的市场地位建立在其他链无法企及的绝对速度底线之上。即使这个底线降低 30%,Solana 依然很快——但它与 Aptos、Sui、Sei 等高性能 L1 阵营的距离,将比发布以来的任何时候都更近。差异化正在缩小。“Solana 具有独特的速度优势”这一说辞将演变为“Solana 是几条快速区块链之一”。
这未必是件坏事。一个速度慢了 30% 但具备量子安全性、且按交易量计仍是最活跃的链,是一个走向成熟而非衰退的网络。但该团队在过去五年里将每一个架构选择都框定为为吞吐量服务,而后量子时代迫使他们进行重新定位。速度不再是架构优化的唯一目标,对抗未来硬件的安全防护现在成为了一个同等重要的约束条件。
Anza 与 Firedancer 在 Falcon 方案上的趋同表明开发者生态系统已经接受了这一点。接下来的两年将揭示用户群、机构买家和投机叙事是否也会达成同样的共识。
BlockEden.xyz 为 Solana 及其他 27+ 条链提供企业级 RPC 和索引器基础设施。随着后量子迁移重塑开发者所依赖的性能假设,欢迎探索我们的基础设施服务,在为未来设计的基石上进行构建。
一小群比特币开发者刚刚提出了一项在五年前还不可思议的提议:在未来的量子计算机将其席卷到公开市场之前,蓄意冻结约 650 万枚 BTC,其中包括整个中本聪时代的储备。
欢迎来到 BIP-361 —— 这项提议迫使比特币在两个最神圣的价值之间做出选择:不可篡改性和生存。
2026 年 1 月,一个人接听了一个电话,回答了一个听起来像是常规支持的问题,结果损失了价值 2.82 亿美元的比特币(Bitcoin)和莱特币(Litecoin)。没有智能合约被利用。没有私钥被破解。没有预言机被操纵。攻击者只是索要了助记词,受害者就把它输入了。
那起单一事件——现在是加密货币历史上最大的社会工程学劫案——占 Web3 安全公司 Hacken 追踪的 2026 年第一季度所有损失的一半以上。Hacken 的季度报告已成为行业内最受关注的损失账本。Hacken 2026 年第一季度的数据非常直观:44 起事件中共被盗 4.826 亿美元,其中网络钓鱼和社会工程学占 3.06 亿美元,即损失的 63%。智能合约漏洞——这一在 2022 年 DeFi 夏天定义了黑客攻击的类别——仅贡献了 8,620 万美元的损失。
这些数字描述了行业在吸收这一结构性转变方面进展缓慢。攻击者不再竞相超越 Solidity 开发人员。他们正在竞相超越人类。而我们为了抵御第一类攻击所建立的基础设施——审计、漏洞赏金、形式化验证——对于阻止第二类攻击几乎无济于事。
2026 年 4 月的前 18 天里,攻击者从十几个 DeFi 协议中窃取了超过 6.06 亿美元——在不到三周的时间里,这一数字是 2026 年整个第一季度被盗总额的 3.7 倍。这是自 2025 年 2 月 Bybit 遭到 15 亿美元黑客攻击以来,加密货币盗窃最严重的月份,也是自 2022 年跨链桥漏洞利用时代以来,对 DeFi 领域损害最严重的时期。
但与 2022 年不同的是,几乎没有任何损失是由智能合约漏洞造成的。
Kelp DAO 跨链桥资金被盗(2.92 亿美元)、Drift Protocol 的预言机和密钥泄露(2.85 亿美元),以及 3 月底 Resolv Labs 的 AWS 劫持事件(2500 万美元)都有一个更隐秘、更令人不安的共同点:它们都是由协议团队对其自身的信任假设进行更改而引发的——一个默认配置、一个预先签署的治理迁移、一个单一的云端密钥——这些都没有任何智能合约审计师有理由去标记。2026 年 4 月的故事不是关于 Solidity 的。它是一个关于代码、基础设施和治理之间操作缝隙的故事,以及当“升级”变成新的攻击面时会发生什么。
为了理解 4 月份的情况是多么异常,必须对数据进行拆解。
CertiK 将 2026 年第一季度的总损失定为约 5.01 亿美元,涉及 145 起事件——这本身就是一个偏高的数字,受 1 月份 3.7 亿美元网络钓鱼浪潮的影响而膨胀(当时是 11 个月以来最严重的月份)。2026 年 2 月回落至约 2650 万美元。3 月份通过 20 起独立事件回升至 5200 万美元,随着重复攻击模式在较小的 DeFi 场所出现,PeckShield 发出了“影子传染”的警告。
接着,2026 年 4 月 1 日——愚人节——以 Drift 漏洞利用拉开序幕,这是当时年度最大的黑客攻击。18 天后,Kelp DAO 的资金被盗案超过了它。仅这两起事件加起来就超过了 5.77 亿美元。再加上 Resolv 的余波、持续的基础设施泄露,以及在 PeckShield 和慢雾(SlowMist)追踪器中累积的十几个较小的 DeFi 违规行为,你在大约半个月的时间里就得到了 6.06 亿美元以上的损失。
作为参考,Chainalysis 报告称 2025 年全年的加密货币盗窃总额为 34 亿美元,其中大部分集中在 Bybit 漏洞中。如果 2026 年 4 月的速度持续下去,在年底前将轻松超过这一基准。威胁不仅在数量上有所增长,在集中度和攻击者的复杂程度方面也有所增长。
使 4 月份的激增具有分析意义——而不仅仅是惨淡——的原因在于,这三起旗舰事件清晰地对应了三类不同的攻击。每一类都针对堆栈的不同层级,且每一类失败都是传统智能合约审计师不负责捕捉的。
4 月 18 日,一名攻击者从 Kelp DAO 由 LayerZero 支持的跨链桥中窃取了 116,500 rsETH——价值约 2.92 亿美元。该技术经 CoinDesk 和 LayerZero 自身取证团队重建,并非利用 Solidity 漏洞。它利用的是一种配置选择。
Kelp 的跨链桥运行的是单验证者(1-of-1 DVN)设置。攻击者入侵了为该验证者提供服务的两个 RPC 节点,使用协调的 DDoS 攻击迫使验证者进入故障转移状态,然后利用被入侵的节点证明虚假的跨链消息已经到达。跨链桥随即释放了 rsETH。LayerZero 将此操作归功于北朝鲜的拉撒路集团(Lazarus Group)。
随之而来的是一场公开的指责大战,这本身就揭示了操作层变得多么脆弱。LayerZero 辩称 Kelp 曾被警告过要使用多验证者配置。Kelp 反驳称,1-of-1 DVN 模型是 LayerZero 自身关于新 OFT 集成部署文档中的默认设置。从技术上讲,这两个立场都是正确的。更深层次的问题在于,没有任何审计公司(如 CertiK、OpenZeppelin、Trail of Bits)会将“你的消息层 DVN 配置是否适合你打算跨链的价值”这一项审查产品化。这种对话存在于两个团队之间的 Slack 频道中,而不是在交付物中。
4 月 1 日,Solana 最大的永续合约 DEX —— Drift Protocol 在 12 分钟内被盗走约 2.85 亿美元。该攻击链包含了三个矢量:
在针对操纵后的预言机批准了膨胀的抵押品头寸后,攻击者在任何链上监控触发之前,跨 USDC、JLP 和其他储备执行了 31 次快速提现。
有两个细节值得强调。首先,Elliptic 和 TRM Labs 都将 Drift 事件归因于拉撒路集团,使其成为 18 天内第二起国家级 DeFi 入侵事件。其次,协议本身并没有失败——失败的是其治理管道。智能合约的表现完全符合配置。漏洞存在于社交工程以及移除时间锁的治理升级中。
Solana 基金会的反应耐人寻味:它在几天内宣布了安全改革,明确将该事件定义为协议与生态系统之间的协调问题,而非 Solana 协议漏洞。这种界定是正确的。这也是对边界已经发生转移的承认。
3 月 22 日发生的 Resolv Labs 事件在涉及金额上是三者中最小的,但��在结构上最具启发意义。一名攻击者获得了 Resolv Labs 的 AWS 密钥管理服务 (KMS) 环境的访问权限,利用具有特权的 SERVICE_ROLE 签名密钥,从约 10 万至 20 万美元的真实 USDC 存款中铸造了 8000 万枚无抵押的 USR 稳定币。总套现时间:17 分钟。
漏洞并不在于 Resolv 的智能合约——那些合约通过了审计。问题在于特权铸造角色是一个单一的外部拥有账户 (EOA),而不是多签账户,且其密钥存放在单一的 AWS 账户之后。正如 Chainalysis 所言,“一个 TVL 达 5 亿美元的协议,其无限铸造权限竟由一个单一私钥掌控。” 最初的入侵途径是网络钓鱼、错误配置的 IAM 策略、受损的开发人员凭据,还是供应链攻击,目前仍未披露——而这种模糊性本身就是重点。该协议的攻击面就是其 DevOps 边界。
桥、预言机和云管理的签名密钥看起来是截然不同的攻击面。但 4 月份发生的每起事件都可以追溯到相同的操作模式:团队对配置、治理流程或基础设施选择进行了“升级”,从而改变了协议的信任假设,而没有任何评审流程被设计用来捕获这些新的假设。
Kelp 升级到了 LayerZero 文档中记录但未针对 3 亿美元流动性进行压力测试的默认 DVN 设置。Drift 升级了其安全委员会治理以移除时间锁,消除了本可以暴露社交工程授权的延迟。Resolv 将单一密钥上的特权铸造角色作为常规云 DevOps 的一部分投入运营。
这正是为什么 OWASP 将“代理和可升级性漏洞” (SC10) 作为其 2026 年智能合约 Top 10 的全新条目。该框架终于跟上了攻击者的步伐。但 OWASP 规则不会自行运行;它们需要人工评审,而大多数协议仍然没有为此预留预算,因为主流的安全叙事仍然是“我们已经过审计”。
这一叙事现在已被证明是不足够的。2026 年发生的三起最大事件都通过了智能合约审计。漏洞出在别处。
经济损失的影响远不止被盗资金。在 Kelp 被盗后的 48 小时内,Aave 的 TVL 下降了约 84.5 亿美元,更广泛的 DeFi 行业蒸发了 超过 132 亿美元。AAVE 代币下跌了 16–20%。SparkLend、Fluid 和 Morpho 冻结了与 rsETH 相关的市场。SparkLend 或许从这次轮换中获益最多,随着用户寻找抵押资产结构更简单的场所,它捕获了约 6.68 亿美元的净新增 TVL。
传染背后的机制值得明确指出来。在排空 Kelp 的桥接资产后,攻击者将盗取的 rsETH 作为抵押品存入 Aave V3,并以此进行借贷——在单一的 rsETH/wrapped-ether 交易对中留下了约 1.96 亿美元的坏账。由于模块化 DeFi 的组合方式,任何接受 rsETH 作为抵押品的借贷平台都无法预见,其抵押品保障竟然处于一个具有 1-of-1 故障模式的单一验证者 LayerZero 桥中。当桥倒塌时,每个平台都同时暴露在同一个漏洞之下。
这是 DeFi 可组合性核心中的隐形耦合问题。每个协议都审计自己的合约。几乎没有协议会审计其接受作为抵押品的代币所属协议的操作假设。2026 年 4 月的连环事件让目前正在权衡 DeFi 集成的每家机构性机构的风险主管都清晰地看到了这一差距。
如果说对 4 月份的一系列事件有什么建设性的解读,那就是它使得下一阶段的 DeFi 安全投资变得不可避免。三种转变已经显现:
1. 桥接配置披露成为基本要求。 预计流动性再质押和跨链协议将开始发布(并更新)明确的 DVN 配置、回退规则和验证者阈值,就像今天发布智能合约源代码一样。将配置作为一类披露产物早已势在必行。
2. 时间锁作为不可协商的治理默认设置。 行业分析 一致认为,治理��迁移的实际最小延迟为 48 小时——这段时间足够监控系统检测到异常并让用户提款。Drift 的漏洞利用可能会在第三季度前使零时间锁迁移在专业上变得不可接受。
3. 特权密钥托管需在正式的多方计算 (MPC) 或 HSM 控制下。 Resolv 的单一 EOA 铸造角色现在成了行业的反面教材。持有铸造权限的协议应预期其 LP 和机构集成商默认要求门限签名方案或硬件隔离的密钥托管。
更深层次的结构性变化是,“审计”作为一次性交付物,正在被 持续运营评审 所取代——即对配置、治理变更和基础设施依赖项进行持续评估,这些因素的演变速度超过了任何年度审计频率所能追踪的范围。那些最快内化这一点的协议,将吸收目前正在观望、等待坏账结算的机构资金。
2026 年 4 月并没有带来一种全新的攻击类型,更多的是证实了旧的防御体系正对着错误的边界。智能合约审计仍然必要,但远不足够。DeFi 的信任面已经向外扩展到了跨链桥配置、治理架构以及云管理密钥 —— 拥有国家级背景的对手凭借其耐心和资源,正在系统性地攻克这些边界。
那些能够赢得下一波机构集成的协议,是那些能以对待 Solidity 代码的严谨态度来对待其 运营 姿态的协议。那些仍然拿着一年前的审计 PDF 作为其安全说辞的团队,正日益成为下个月头条新闻的候选项。
BlockEden.xyz 为那些需要让依赖项成为其技术栈中最“乏味”部分的构建者提供企业级 RPC 和索引基础设施。探索我们的 API 市场,在为 2026 年所需的运营严谨性而设计的基石上进行构建。
三次攻击。19 个月。超过 1.4 亿美元不翼而飞。然而 BtcTurk 依然处理着土耳其每年约 2000 亿美元加密货币交易量的大部分 —— 因为对于大多数土耳其用户来说,别无他选。
这种紧张关系才是 2026 年 1 月 BtcTurk 被盗事件的真相,而非 4800 万美元那个头条新闻。当土耳其占据主导地位的交易所自 2024 年年中以来第三次丢失热钱包资金,而零售用户却耸耸肩继续交易时,一些结构性的东西正在崩溃。新兴市场的加密货币用户正在支付所谓的“信任税” —— 为了换取本币出入金通道,他们接受了比国际竞争对手更弱的资产托管。随着全球加密货币的采用从投机交易转向以稳定币计价的储蓄,这笔税款即将引起关注。
一个人在一次通话中损失了 2.82 亿美元。没有智能合约被利用,没有一行 Solidity 代码被触及。2026 年 1 月 10 日,一名虚假的 IT 支持代表诱导一位加密货币持有者执行了硬件钱包的“恢复”流程,并带走了比大多数 DeFi 协议总锁仓价值(TVL)还要多的比特币(Bitcoin)和莱特币(Litecoin)。这起单一事件——规模超过了 Drift,甚至超过了 Kelp DAO 本身——占据了 2026 年第一季度 Web3 所有损失金额的一半以上。
Hacken 的 2026 年第一季度区块链安全与合规报告 指出,该季度 44 起事件共导致 4.826 亿美元资金被盗。仅网络钓鱼和社会工程学就掠走了 3.06 亿美元——占季度总损失的 63.4%。智能合约漏洞利用仅造成了 8620 万美元的损失。访问控制失败——包括密钥泄露、云凭证被盗、多签接管——又增加了 7190 万美元。数据非常直观:上季度从有漏洞的代码中每被盗走 1 美元,攻击者就会通过围绕代码的人员、流程和凭证榨取大约 3.5 美元。
对于一个五年来一直将“已审计”视为“安全”代名词的行业来说,第一季度的数据是一个警示。攻击面已经转移,但投入却没有。