نگرانی‌های امنیتی در حوزه کریپتو پس از آن تشدید شد که مانوئل آرائوز، یکی از بنیانگذاران OpenZeppelin، اعلام کرد به دوستان و خانواده‌اش توصیه کرده است که از تمام موقعیت‌های خود در حوزه مالی غیرمتمرکز (DeFi)، از جمله مواجهه با پروتکل‌های وام‌دهی بزرگ، خارج شوند.

آرائوز در پستی که روز سه‌شنبه در X منتشر کرد، اظهار داشت که دیگر "تمام دی‌فای" را امن نمی‌داند و استدلال کرد که تعادل بین مهاجمان و مدافعان بیش از حد به نفع هکرها تغییر کرده است. حتی موقعیت‌های کم‌خطر مرتبط با پروتکل‌های معتبر مانند Aave، MakerDAO و Compound نیز در هشدار او گنجانده شده بود.

آرائوز با توصیف وضعیت فعلی امنیت قراردادهای هوشمند، گفت که عامل‌های کدنویسی در یافتن آسیب‌پذیری‌ها "فوق‌العاده" شده‌اند، در حالی که توسعه‌دهندگان در سیستمی گیر افتاده‌اند که "مدافعان باید هر باگ را رفع کنند در حالی که مهاجمان برای سرقت وجوه تنها به یک بهره‌برداری نیاز دارند."

او افزود: "من به طور خصوصی به دوستان و خانواده‌ام توصیه کرده‌ام که از تمام موقعیت‌های دی‌فای، از جمله پروژه‌های "معتبر" کم‌خطر مانند Aave، MakerDAO و Compound، خارج شوند."

اظهارات آرائوز در حالی منتشر شد که صنعت کریپتو همچنان با یکی از مخرب‌ترین دوره‌های بهره‌برداری از دی‌فای از زمان هک ۱.۵ میلیارد دلاری Bybit در فوریه ۲۰۲۵ دست و پنجه نرم می‌کند.

بهره‌برداری‌های دی‌فای در ماه آوریل از ۶۰۰ میلیون دلار گذشت

داده‌های DefiLlama نشان داد که تقریباً ۶۲۹.۷ میلیون دلار تنها در ماه آوریل از پروتکل‌های دی‌فای به سرقت رفته است که آن را به بدترین ماه برای هک‌های مرتبط با کریپتو در بیش از یک سال اخیر تبدیل کرده است. دو حمله بیشترین سهم را از این زیان‌ها داشتند.

در میان بزرگترین حوادث، پروتکل Drift حدود ۲۸۵ میلیون دلار را پس از آن از دست داد که مهاجمان طبق گزارش‌ها از یک کمپین مهندسی اجتماعی که شش ماه به طول انجامید، استفاده کردند.

Kelp DAO با یک بهره‌برداری ۲۹۳ میلیون دلاری دیگر که به آسیب‌پذیری‌هایی در زیرساخت پل بین‌زنجیره‌ای آن مرتبط بود، مواجه شد. محققان امنیتی و بازرسان بلاکچین به طور گسترده هر دو حمله را به گروه‌های هکری تحت حمایت دولت کره شمالی مرتبط دانسته‌اند.

DefiLlama در ماه آوریل ۲۷ حادثه بهره‌برداری از دی‌فای را ثبت کرد. در همین حال، ارزش کل قفل شده در پروتکل‌های دی‌فای تقریباً ۱۴ درصد از سطوح اواسط آوریل کاهش یافت و از تقریباً ۱۷۲ میلیارد دلار به حدود ۱۴۸ میلیارد دلار رسید.

تمرکز زیان‌ها عمدتاً از نقاط ضعف مرتبط با پل‌ها، نقص‌های دسترسی ممتاز و خطاهای عملیاتی ناشی می‌شد نه صرفاً از باگ‌های کدنویسی مجزا.

به غیر از دو مورد بزرگترین نشت اطلاعاتی، چندین حمله کوچکتر در طول ماه به پروتکل‌ها ادامه یافت. همانطور که قبلاً توسط crypto.news گزارش شده بود، Wasabi Protocol در طول یک بهره‌برداری فعال، تقریباً ۵.۵ میلیون دلار را در شبکه‌های اتریوم، بیس، بلاست و براچین از دست داد.

پلتفرم "کسب درآمد از طریق حرکت" (Move-to-earn) Sweat Economy نیز حدود ۳.۴۶ میلیون دلار ضرر را گزارش کرد پس از آنکه مهاجمان تقریباً ۶۵ درصد از استخر نقدینگی آن را در کمتر از ۳۰ ثانیه تخلیه کردند. این پروژه بعداً اعلام کرد که برخی از دارایی‌های دزدیده شده در MEXC مسدود شده‌اند در حالی که تلاش‌های بازیابی ادامه دارد.

در همین حال، در بلاکچین Sui، پلتفرم معاملاتی غیرمتمرکز Aftermath Finance تقریباً ۱.۱ میلیون دلار USDC را از پلتفرم معاملات آتی دائمی خود از دست داد. شرکت امنیت بلاکچین Blockaid اعلام کرد که مهاجم ۱۱ تراکنش را در حدود ۳۶ دقیقه انجام داده است.

حملات کوچکتر در ماه مه ادامه دارد

اگرچه ماه مه زیان‌هایی به بزرگی ماه آوریل به همراه نداشته است، حوادث امنیتی در بخش دی‌فای ادامه یافته است.

در میان جدیدترین موارد، پل اتریوم شبکه Verus برای ۱۱.۶ میلیون دلار مورد بهره‌برداری قرار گرفت. پلتفرم بازار پیش‌بینی Polymarket نیز هفته گذشته یک نشت ۵۷۳,۲۰۰ دلاری را فاش کرد که این شرکت گفت ممکن است شامل یک کلید خصوصی به خطر افتاده مرتبط با یک کیف پول داخلی شارژ شده باشد.