五天三起DeFi黑客攻击：THORChain、Verus与Echo

五天内发生三起漏洞利用事件，合计损失2300万美元。THORChain于5月15日遭袭，Verus Bridge于5月18日，Echo Protocol于5月19日。5月还没结束。

来源：TRM Labs、Chainalysis、ZachXBT、PeckShield · 2026年5月15至16日

2026年5月15日09:45 UTC，ZachXBT在Telegram上发出警报：THORChain（最大跨链去中心化交易所）的Asgard金库出现异常资金流动。据ZachXBT当时估计，初始损失约为740万美元。协议随即暂停。两小时后，数字攀升至1080万美元，攻击同时波及Bitcoin、Ethereum、BNB Chain和Base，原生代币RUNE在数分钟内从0.58美元跌至约0.50美元，跌幅达15%（根据CoinGecko实时数据）。自动暂停机制及时启动，将损失控制在六个活跃Asgard金库中的一个。用户资金：安全。

攻击向量颇为精密。据Chainalysis分析，一个验证节点此前数日表现正常，在GG20 TSS协议的例行签名仪式中逐步积累加密密钥碎片。积累足够碎片后，攻击者重建了某个Asgard金库的完整私钥，以获得整个网络共识授权的方式签署出账交易。该恶意节点被识别为thor16ucjv3v695mq283me7esh0wdhajjalengcn84q，在攻击发生前数日才进入活跃节点集。这是有计划的行动。

Chainalysis还重建了数周的准备过程：攻击者在Monero、Hyperliquid和Arbitrum上进行操作，并在资金被盗前43分钟将8 ETH转入攻击钱包。这一手法此前已有记录：Kelp DAO曾于4月遭2.92亿美元攻击，准备周期同样长达数月。具有讽刺意味的是，THORChain此前曾被用作Lazarus Group的洗钱通道，该组织在36小时内通过该协议转移了约1.75亿美元被盗ETH。Aave在Kelp事件后的危机恰好于5月18日结束，而那正是本周第二起攻击发生的同一天。

来源：Blockaid、PeckShield · 2026年5月18日

THORChain事件三天后。没有暂停。Blockaid在攻击仍在进行时发出警报：攻击者已从Verus-Ethereum Bridge盗走103.6 tBTC、1,625 ETH及147,000 USDC，随即将所有资产转换为5,402.4 ETH（根据PeckShield链上数据）。目标钱包0x65Cb8b128Bf6e690761044CCECA422bb239C25F9在5月19日仍处于活跃状态。在攻击前14小时通过Tornado Cash预充值1 ETH的操作表明，这是一次经过精心策划的行动，并非伺机而为。4月的Drift Protocol事件已记录了同样的模式：攻击钱包提前数周使用相同工具完成准备。Verus具体的技术攻击向量仍在分析中。

来源：PeckShield、dcfgod、Blockaid、Keone Hon（@keoneHD，X平台）· 2026年5月18至19日

5月18日晚，链上分析师dcfgod在X平台发帖：有人在Monad网络的Echo Protocol上凭空铸造了1,000枚eBTC。名义价值7,670万美元，实际损失816,000美元。两个数字之间的差距说明一切：攻击者持有的管理员密钥拥有无限铸造权限，既无多签保护，也无时间锁。攻击者以45枚eBTC作为Curvance抵押品，借出11.29 WBTC，将资金转至以太坊网络，再将384 ETH转入Tornado Cash。整个过程在数小时内完成。剩余955枚eBTC留在攻击者钱包中无法变现：Monad网络上没有足够的流动性将其转换为实际价值。Echo Protocol随即将其销毁。Monad联合创始人Keone Hon确认，网络本身未受波及。

SlowMist创始人余弦（Yu Xian）直指问题所在：拥有绝对铸造权限的单一控制点本身就是一个架构层面的漏洞，而非孤立错误。这一模式与数十起跨链桥漏洞攻击如出一辙。关于类似架构如何在AI-加密领域制造安全缺口，SpazioCrypto关于LLM路由器与钱包安全的分析揭示了同一模式在不同攻击向量上的复现。

来源：TRM Labs、Blockaid、PeckShield、Keone Hon、DefiLlama · 2026年5月15至19日

黑客如何从DeFi跨链桥盗取加密资产？

实际上，本周三起攻击的技术向量各不相同，但结构如出一辙。跨链桥是入口，不一定因为它是最薄弱的环节，而是因为它集中了跨链流转的最大价值，往往缺乏核心协议所具备的冗余防护。

THORChain案例中，攻击者利用了GG20 TSS中的密码学缺陷，并非直接窃取私钥，而是在合法的网络操作中逐片提取密钥碎片，最终完整重建私钥。重建完成后，攻击者得以像真实验证者一样签署交易，直到链上异动已肉眼可见，才触发警报。

Verus Bridge的攻击向量尚在分析中，但在事发14小时前通过Tornado Cash预先充值的操作表明，这是周密策划而非临时起意。Echo Protocol的漏洞则与密码学无关：一把没有任何保护措施、拥有无限铸造权限的管理员密钥，是协议与任何潜在攻击者之间唯一的防线。

损害放大机制始终遵循同一逻辑。跨链桥发行的合成代币或wrapped代币被相邻借贷协议接受为抵押品。凭空创造价值，借出真实价值，在系统作出反应之前全身而退。这正是4月Kelp DAO跨链桥遭受2.92亿美元攻击的模式。更早之前，Drift Protocol的2.85亿美元事件也遵循类似的动态。DeFi的可组合性是其核心优势，在这类场景下，也是最高效的破坏杠杆。关于如何在此背景下保护资产，SpazioCrypto Web3指南涵盖了主要操作风险。

根据DefiLlama数据，2026年5月截至19日已发生14起DeFi安全事件，而这个月还没结束。4月全月总损失达6.51亿美元，其中Kelp和Drift两起事件单独占据了91%的损失。当前关注焦点集中在两个方面。其一：THORChain漏洞的归因。TRM Labs尚未将责任归于任何特定行为者。

若Lazarus Group的介入得到证实（该组织已被记录参与Kelp和Drift事件），朝鲜2026年的加密资产盗窃总额将以四个月之差超越历史任何一年。其二：THORChain社区将于5月22至23日对补救方案进行投票，内容涉及对受损节点债券的罚没处理以及使用协议自有流动性进行补偿。RUNE代币已在数小时内下跌15%。

社区在未来数日内的决策。将切实检验DeFi能否在不依赖外部监管强制的前提下自我立规。就香港和新加坡的加密用户而言。HKMA和MAS对去中心化协议安全标准日益增强的关注。使这类事件的行业影响远超链上层面。5月所有漏洞事件的最新进展可在SpazioCrypto安全事件专栏持续跟踪。