PeckShield和DeFiLlama的数据拼在一起，画风相当吓人。今年一季度，黑客从34个DeFi协议里卷走了超过1.686亿美元。到了四月份更离谱，Drift Protocol被搞走2.85亿美元，KelpDAO再添2.92亿美元，光这两桩就超过6亿美元，单月损失直接破了历史纪录。

五月份也没消停，Verus桥和THORChain又各贡献了1100多万美元。PeckShield统计，五月前半个月跨链桥攻击就有8起，累计损失3.286亿美元。按这个节奏，2026年全年DeFi被盗金额很有可能刷新之前的最高纪录。

跨链桥仍然是攻击面最大的软肋。Wormhole、Nomad、Verus、THORChain，每次都是跨链验证环节出问题。安全公司一遍遍喊要加来源金额验证、payload绑定、异常暂停机制，但总有项目在上线时把安全审计排在优先级后面。