پروتکل‌های رمزارزی تنها در ۱۸ روز اول آوریل ۲۰۲۶، بیش از ۶۰۶ میلیون دلار را به دلیل هک و اکسپلویت از دست داده‌اند، که طبق داده‌های DefiLlama، این ماه را به بدترین ماه از نظر سرقت در این صنعت از زمان نفوذ ۱.۴ میلیارد دلاری در بای‌بیت (Bybit) در فوریه ۲۰۲۵ تبدیل کرده است.

طبق داده‌های ردیابی شده توسط DefiLlama، پروتکل‌های رمزارزی در ۱۸ روز اول آوریل ۲۰۲۶، بیش از ۶۰۶ میلیون دلار را در ۱۲ حادثه جداگانه به هکرها از دست داده‌اند. یاهو فاینانس این رقم را از تحلیل BeInCrypto گزارش داد و تأیید کرد که آوریل از فوریه ۲۰۲۵، زمانی که تنها نفوذ بای‌بیت (Bybit) ۱.۴ میلیارد دلار خسارت به بار آورد، به بدترین ماه برای سرقت رمزارز تبدیل شده است.

هک‌های رمزارزی آوریل ۲۰۲۶، سه ماهه اول را بی‌اهمیت جلوه می‌دهند

مقیاس خسارات آوریل در این بافت، بسیار چشمگیر است. کل سه ماهه اول سال ۲۰۲۶، ۱۶۵.۵ میلیون دلار خسارت را در یک دوره نسبتاً آرام به خود دید. مجموع ۶۰۶ میلیون دلار آوریل در کمتر از سه هفته به دست آمد، که این ماه را ۳.۷ برابر بزرگتر از مجموع سه ماهه اول کرد و کل سرقت‌های سال ۲۰۲۶ تا به امروز را به تقریباً ۷۷۱.۸ میلیون دلار در ۴۷ حادثه جداگانه رساند. دو اکسپلویت تقریباً تمام این مبلغ را تشکیل می‌دهند. حمله ۲۸۵ میلیون دلاری پروتکل دریفت (Drift Protocol) در ۱ آوریل که بعداً به گروه لازاروس (Lazarus Group) کره شمالی نسبت داده شد، و نقض ۲۹۲ میلیون دلاری کلپ‌دائو (KelpDAO) در ۱۸ آوریل که همچنین با لازاروس مرتبط است، مجموعاً حدود ۹۵ درصد از ضررهای این ماه و تقریباً ۷۵ درصد از کل سرقت‌های رمزارزی در سال ۲۰۲۶ تا به امروز را شامل می‌شوند. همانطور که crypto.news گزارش داد، تنها اکسپلویت کلپ‌دائو، خروج بیش از ۱۰ میلیارد دلار از آوه (Aave) را به دنبال داشت و شوک‌هایی را در بیش از ۲۰ پروتکل مرتبط ایجاد کرد.

مشکل فراوانی حملات در حال بدتر شدن است

فراتر از مجموع مبالغ دلاری، سرعت حملات به گونه‌ای در حال افزایش است که محققان امنیتی را به اندازه حجم هر حادثه نگران می‌کند. دیفای (DeFi) در چهار و نیم ماه اول سال ۲۰۲۶، ۴۷ حادثه جداگانه را ثبت کرد، در مقایسه با ۲۸ حادثه در مدت مشابه در سال ۲۰۲۵، که ۶۸ درصد افزایش سال به سال در فراوانی حملات را نشان می‌دهد. تغییر در روش‌های حمله نیز به همان اندازه مهم است. همانطور که crypto.news مستند کرده است، اکسپلویت‌های آوریل شامل آسیب‌پذیری‌های قرارداد هوشمند (smart contract)، حملات به زیرساخت‌ها و کمپین‌های مهندسی اجتماعی (social engineering)، از جمله حملات مبتنی بر هوش مصنوعی به کیف پول‌هایی مانند زریون (Zerion) می‌شود. تنوع بردارهای حمله به این معنی است که تنها ممیزی‌های فنی و بازبینی کد دیگر برای پروتکل‌هایی با ارزش قفل شده کل (TVL) بالا کافی نیست. یک تحلیلگر در گزارش BeInCrypto نوشت: "هیچ یک از اینها خسارات جانبی مشاهده شده در ارزش قفل شده کل (TVL)، اعتماد کاربر، ارزش‌گذاری‌ها و روحیه این فضا را در نظر نمی‌گیرد. دیفای تا زمانی که ریسک به درستی قیمت‌گذاری نشود، یک بازار خاص و محدود باقی می‌ماند."

موج هک‌های آوریل چه معنایی برای بازارهای رمزارزی دارد

بازارها از قبل شروع به قیمت‌گذاری آنچه تحلیلگران آن را "پاداش ریسک امنیتی" بر روی دارایی‌های دیفای می‌نامند، کرده‌اند. همانطور که crypto.news پیگیری کرده است، مجموع خسارات هک رمزارزها در یک دهه گذشته از ۱۷ میلیارد دلار عبور کرده است، در حالی که مهاجمان به طور فزاینده‌ای از باگ‌های قراردادهای هوشمند به سمت کلیدهای خصوصی، زیرساخت‌های امضا و مهندسی اجتماعی در لایه انسانی حرکت می‌کنند. بازیگران نهادی با محدودیت‌های نرخ اضطراری و جریان‌های مسدود شده پل‌ها (bridge flows) واکنش نشان می‌دهند، در حالی که جفریز (Jefferies) هشدار داده است که زنجیره هک‌های برجسته می‌تواند موقتاً اشتهای وال استریت (Wall Street) را برای پروژه‌های توکن‌سازی (tokenization) دیفای کاهش دهد. طبق داده‌های DefiLlama که توسط BeInCrypto استناد شده است، اگر حتی یک اکسپلویت با اندازه متوسط دیگر قبل از ۳۰ آوریل رخ دهد، مجموع خسارات این ماه می‌تواند به ۷۰۰ میلیون دلار نزدیک شود.

ردیاب هک‌های DefiLlama نشان می‌دهد که فراوانی حملات در سال ۲۰۲۶ تقریباً یک حادثه در هر ۲.۹ روز است، سرعتی که محققان می‌گویند نشان‌دهنده سطح حمله رو به رشد است که توسط TVL دیفای (ارزش کل قفل شده) بیش از ۱۲۰ میلیارد دلار و گسترش زیرساخت پل‌های بین‌زنجیره‌ای (cross-chain bridge) هدایت می‌شود.