دیفای‌لاما ۵۱۸ مورد هک کریپتو و بیش از ۱۷ میلیارد دلار ضرر را در ۱۰ سال ثبت می‌کند، در حالی که مهاجمان از قراردادهای هوشمند به سمت کلیدها، پل‌ها و کیف‌پول‌ها تغییر جهت داده‌اند و rsETH حدود ۲۹۰ میلیون دلار ضرر می‌کند.

طبق داده‌های دیفای‌لاما که توسط کوین‌تلگراف به آن اشاره شده، صورت‌حساب امنیتی کریپتو در دهه گذشته بی‌صدا از ۱۷ میلیارد دلار فراتر رفته است، با حداقل ۵۱۸ مورد هک و اکسپلویت مستند که از سال ۲۰۱۴ صرافی‌ها، پروتکل‌های دیفای، پل‌ها و کیف‌پول‌ها را هدف قرار داده‌اند. این رقم همه چیز را از فروپاشی‌های اولیه صرافی‌ها گرفته تا حملات پیچیده میان‌زنجیره‌ای امروزی در بر می‌گیرد، و این در حالی است که سرعت کلی اکسپلویت‌های بزرگ درون‌زنجیره‌ای از سال‌های اوج جنون مانند ۲۰۲۱-۲۰۲۲ کاهش یافته است.

یک دهه و ۱۷ میلیارد دلار ضرر در کریپتو

اما در زیر پوست، ترکیب این ضررها در حال تغییر است. در حالی که هک‌های اولیه دیفای اغلب به باگ‌های قراردادهای هوشمند و منطق کنترل‌نشده وام‌های فلش متکی بودند، حوادث اخیر نشان می‌دهد که مهاجمان به طور فزاینده‌ای بخش‌های آسیب‌پذیر پیرامون کریپتو — کلیدهای خصوصی، زیرساخت‌های امضا و دستگاه‌های کاربران — را با سرقت اعتبارنامه، مهندسی اجتماعی و حملات سبک سیم‌سواپ (SIM-swap) هدف قرار می‌دهند. شرکت‌های امنیتی به کوین‌تلگراف گفتند که انتظار دارند سال ۲۰۲۶ حملات فیشینگ پیشرفته‌تر و کلاهبرداری‌های مبتنی بر هوش مصنوعی را به همراه داشته باشد که قادرند حتی کاربران از نظر فنی آگاه را به امضای تراکنش‌های مخرب یا افشای عبارت‌های بازیابی (seed phrases) فریب دهند.

از قراردادهای هوشمند تا پل‌ها و کیف‌پول‌ها

زیرساخت‌های پل‌ها نقطه ضعف خاصی بوده‌اند. داشبورد هک‌های دیفای‌لاما نشان می‌دهد که پل‌ها تقریباً ۳ میلیارد دلار از ۱۱.۸ میلیارد دلار ارزش کلی هک شده را تشکیل می‌دهند، با حوادث بزرگ و تکی مانند اکسپلویت‌های Ronin، Wormhole و Multichain که لحن ریسک میان‌زنجیره‌ای را تعیین می‌کنند. جدیدترین مورد اضافه شده به این لیست، پل میان‌زنجیره‌ای rsETH کِلپ دائو است که در ۱۸ آوریل مورد حمله قرار گرفت، پس از اینکه یک مهاجم یک پیام میان‌زنجیره‌ای را در یک لینک مبتنی بر لایه‌صفر (LayerZero) جعل کرد و ۱۱۶,۵۰۰ واحد rsETH را به یک آدرس تحت کنترل مهاجم ضرب (mint) یا آزاد کرد.

این توکن‌ها — که نماینده اتریوم "ری‌استیک شده" هستند — در آن زمان حدود ۲۹۰ تا ۲۹۳ میلیون دلار ارزش داشتند، یا تقریباً ۱۸ درصد از کل عرضه rsETH را تشکیل می‌دادند، و توسط رسانه‌هایی از جمله بلومبرگ به عنوان بزرگترین اکسپلویت دیفای در سال ۲۰۲۶ تاکنون نامیده شده‌اند. این حادثه کِلپ دائو را مجبور کرد تا پل را متوقف کند، پاسخ‌های اضطراری را با صرافی‌ها و پروتکل‌ها هماهنگ کند، و به یک بازی سرزنش بر سر پیکربندی پیش‌فرض تک‌اعتبارسنجی لایه‌صفر دامن زد، که منتقدان استدلال می‌کنند سیستم را عملاً با یک کلید فاصله از ضرب (minting) فاجعه‌بار رها کرده است.

حتی جدا از اکسپلویت‌های خبرساز، سازش‌های روزمره اعتبارنامه همچنان خسارت به بار می‌آورند. داده‌های دیفای‌لاما که توسط کوین‌تلگراف به آن اشاره شده، نشان می‌دهد که تنها در سه ماهه اول سال ۲۰۲۶، هکرها حدود ۱۶۸.۶ میلیون دلار از ۳۴ پروتکل دیفای به سرقت بردند، که بزرگترین ضربه تکی — سرقت ۴۰ میلیون دلاری Step Finance — به جای یک باگ صرفاً در کد، به یک سازش کلید خصوصی برمی‌گردد. این روند نشان می‌دهد که امنیت قراردادهای هوشمند دیفای به آرامی در حال سخت‌تر شدن است، در حالی که مهاجمان با حرکت به سمت ابزارها و فرآیندهای انسانی که بین کیف‌پول‌ها و پروتکل‌ها قرار دارند، واکنش نشان می‌دهند.

برای کاربران و تیم‌ها، درس بی‌رحمانه اما واضح است: ممیزی‌ها و تأیید رسمی ضروری هستند، اما کافی نیستند. کلیدهای سخت‌افزاری، طرح‌های چندامضایی (multi-sig)، دستگاه‌های امضای تفکیک‌شده، سیاست‌های سخت‌گیرانه مدیریت کلید، و بهداشت بی‌وقفه در برابر فیشینگ اکنون به همان اندازه برای حفاظت از کریپتو حیاتی هستند که بهینه‌سازی‌های گس (gas optimizations) و پاداش‌های یافتن باگ (bug bounties) همیشه بوده‌اند — زیرا فقط یک اعتبارنامه به خطر افتاده کافی است تا یک خط دیگر در پایگاه داده هک‌های دیفای‌لاما را به یک ضرر نه‌رقمی تبدیل کند.