آوریل تاکنون شاهد سرقت بیش از 600 میلیون دلار در سراسر دیفای (DeFi)، پل‌ها و کیف پول‌ها بوده است، که امنیت را از یک نگرانی در سطح پروتکل به یک ریسک‌پرمیوم بازار تمام‌عیار تبدیل کرده است.

آمارهای کلی جدید نشان می‌دهد که پروتکل‌های کریپتو در 18 روز اول آوریل تاکنون بیش از 606 میلیون دلار به دلیل حملات از دست داده‌اند، و این ماه را به بدترین ماه برای اکسپلویت‌ها از فوریه 2025 تبدیل کرده و مجموع سرقت‌های سال 2026 را به بیش از 770 میلیون دلار رسانده است. بر اساس داده‌های DefiLlama، حداقل 13 پروتکل در این ماه به خطر افتاده‌اند، که KelpDAO و Drift Protocol به تنهایی حدود 95 درصد از ضررهای آوریل و تقریباً 75 درصد از کل سال 2026 را تشکیل می‌دهند.

KelpDAO، یک پروتکل استیکینگ نقدینگی اتریوم، در 18 آوریل مورد حمله قرار گرفت که طی آن حدود 116,500 واحد rsETH، به ارزش تقریبی 292 میلیون دلار، تخلیه شد. این اتفاق پس از آن رخ داد که یک مهاجم پیام‌های بین‌زنجیره‌ای جعلی ایجاد کرد تا قرارداد پل LayerZero EndpointV2 را فریب داده و ذخایر را آزاد کند. Drift، بزرگترین صرافی غیرمتمرکز معاملات دائمی (perpetuals) سولانا، در 1 آوریل مورد یک اکسپلویت «پیچیده» قرار گرفت که رسانه‌های محلی آن را اینگونه توصیف کردند و حدود 285 میلیون دلار از دست داد که اکنون دومین نقض امنیتی بزرگ در تاریخ سولانا پس از هک 326 میلیون دلاری Wormhole در سال 2022 محسوب می‌شود.

از باگ‌های قرارداد تا مهندسی اجتماعی مبتنی بر هوش مصنوعی

موج اخیر هک‌ها محدود به باگ‌های قراردادهای هوشمند یا پریمتیوهای ری‌استیکینگ نیست. حوادثی لایه‌های مسیریابی و زیرساخت مانند Hyperbridge و همچنین ارائه‌دهندگان فرانت‌اند و DevOps مانند Vercel را تحت تأثیر قرار داده است، جایی که مهاجمان به سیستم‌های داخلی دسترسی پیدا کرده و گفته می‌شود داده‌های سرقت شده را به قیمت 2 میلیون دلار می‌فروشند تا «حملات زنجیره تأمین جهانی» را تأمین مالی کنند.

در بعد انسانی، ارائه‌دهنده کیف پول Zerion فاش کرد که مورد هدف هکرهای کره‌شمالی قرار گرفته است؛ این هکرها از کمپین‌های مهندسی اجتماعی طولانی‌مدت و مبتنی بر هوش مصنوعی برای به خطر انداختن کلیدهای کیف پول‌های داغ استفاده کرده، حدود 100,000 دلار را به سرقت بردند، در حالی که وجوه کاربران و زیرساخت‌های اصلی را دست‌نخورده باقی گذاشتند. ائتلاف امنیتی (SEAL) حداقل 164 دامنه مخرب مرتبط با گروه UNC1069 وابسته به کره‌شمالی را شناسایی کرده و راهبرد آن‌ها را اینگونه توصیف می‌کند: «صبر، دقت و استفاده عمدی از روابط اعتماد موجود».

داده‌های صنعتی از حوادث قبلی، مانند اکسپلویت کیف پول داغ 70 میلیون دلاری در صرافی Phemex مستقر در سنگاپور در سال 2025، قبلاً تمایل بازیگران مرتبط با کره‌شمالی را برای تبدیل سریع USDT و USDC سرقت شده به ETH برای فرار از لیست‌های سیاه برجسته کرده بود، یک الگویی که مقامات می‌گویند در سال 2026 نیز ادامه دارد.

ساختار بازار به صورت لحظه‌ای و همزمان با افزایش حملات آوریل واکنش نشان داد. بین ساعت 11:00 تا 13:00 به وقت جهانی (UTC) در روزهای مهم خبری، دفاتر سفارش در نام‌های دیفای با ارزش بازار متوسط و ضعیف‌تر، نشانه‌های کلاسیک «تسلیم» (capitulation) را نشان دادند: کاهش‌های تک‌جلسه‌ای تقریباً 5 تا 8 درصدی، پیشنهادهای خرید کم و چرخش آشکار به سمت پروتکل‌هایی با سوابق امنیتی تمیزتر. بازارهای مشتقات شاهد تمایل جزئی منفی در تأمین مالی سبد دیفای بودند، در حالی که نقدینگی اسپات کاهش یافت؛ این نوع پیکربندی چیزی است که میزهای معاملاتی با «مالیات امنیتی» گسترده بر دارایی‌های پرخطر مرتبط می‌دانند، نه شوک‌های منحصربه‌فرد و جداگانه.

برای معامله‌گران، این وضعیت امنیت را به یک عامل صریح تبدیل کرده است: کاهش بتای دیفای اهرم‌دار در اخبار اکسپلویت‌ها، موضع‌گیری طولانی (long) در پلتفرم‌های متمرکز و زیرساخت‌های درآمدزا از نوسانات، و نگهداری سرمایه نقدی (dry powder) برای فروشندگان اجباری، زمانی که بدهی‌های بد و کاهش ارزش دارایی‌ها به طور کامل در بلاکچین شناسایی شوند.