嗨，早！

2026 年 4 月，去中心化金融（DeFi）可說是慘遭血洗。

北韓駭客國家隊拉薩路集團（Lazarus Group）在三週內接連對兩項 DeFi 應用發動攻擊 —— 4 月 1 日 Drift Protocol 損失 2.85 億美元，4 月 19 日 KelpDAO 損失 2.92 億美元。光是這兩起竊案，就佔了 2026 全年 DeFi 遭駭損失的 77%。

聽到這種事件，一般人的直覺反應是：又有哪位工程師寫錯程式碼或點到釣魚連結了吧？

錯了。Drift Protocol、KelpDAO 的智慧合約程式碼都沒有漏洞，卻還是被北韓駭客攻破。他們是怎麼跑進來的？這正是北韓最擅長的攻擊手法，也是整起事件最讓人不寒而慄的地方：即便你完全沒犯錯，資產還是會不翼而飛。

這篇文章我帶大家重回 4 月 19 日當天，完整還原事發經過。

鏈上監視器

台灣時間 2026 年 4 月 19 日週日凌晨 1 點 30 分，多數人都已熟睡，鏈上卻出現一筆大額轉帳記錄。有人透過跨鏈橋 LayerZero 轉出價值約 2.9 億美元、共 116,500 顆 rsETH 代幣。

rsETH 是一種質押憑證，可以向 KelpDAO 贖回當初質押的 ETH，或是拿去借貸平台當成抵押品借款。類似的交易天天都在發生，只是這筆金額特別大，格外引人矚目：一口氣領出 2.9 億美元要做什麼？是要賣掉嗎？

不到 2 分鐘，這筆錢開始被分批提領到 7 個不同的新地址。看到這裡，鏈上偵探心裡有底，只要再確認一件事就能知道是不是駭客攻擊 —— 這個人的 gas fee 是從哪裡來的？

錢包轉帳就像寄信要貼郵票一樣，需要 ETH 當成 gas fee。一般使用者的資金來源多半是中心化交易所的熱錢包，但駭客會使用混幣器 Tornado Cash 轉入小額 ETH 當成初始資金，製造金流斷點。這筆 2.9 億美元的轉帳前後只花 0.5 美元 gas fee，而源頭正是 Tornado Cash1。

凌晨 2 點 52 分，鏈上偵探 ZachXBT 率先發聲，標註了 6 組可疑錢包，並註明「資金來自 Tornado Cash」。人們雖警覺到大事不妙，但第一時間資訊太少，就連 ZachXBT 也沒辦法確定誰才是受害者。

一小時後，KelpDAO 發出公告，承認遭到駭客入侵。但他們可不是「剛睡醒」，而是剛跟駭客交手完。

時間回到凌晨 2 點…