Nagtala ang DefiLlama ng 518 kaso ng crypto hack at mahigit $17 bilyon na pagkalugi sa loob ng 10 taon, kung saan ang mga umaatake ay lumilipat mula sa mga smart contract patungo sa mga key, bridge at wallet, habang ang rsETH ay nawalan ng humigit-kumulang $290 milyon.
Ang kabuuang gastos sa seguridad ng crypto sa nakalipas na dekada ay tahimik na lumampas sa $17 bilyon, ayon sa datos ng DefiLlama na sinipi ng Cointelegraph, na may hindi bababa sa 518 na dokumentadong hack at exploit na tumama sa mga exchange, DeFi protocol, bridge at wallet mula noong 2014. Saklaw ng figure na iyon ang lahat mula sa mga maagang pagbagsak ng exchange hanggang sa sopistikadong cross-chain attack ngayon, at nangyayari ito kahit na ang pangkalahatang bilis ng malalaking on-chain exploit ay bumagal mula sa mga taon ng kasagsagan tulad ng 2021–2022.
Sa ilalim ng ibabaw, gayunpaman, ang komposisyon ng mga pagkalugi na iyon ay nagbabago. Kung saan ang mga naunang DeFi hack ay madalas na nakasandal sa mga smart contract bug at hindi nasuri na flash-loan logic, ipinapakita ng mga kamakailang insidente na ang mga umaatake ay lalong tina-target ang "soft tissue" sa paligid ng crypto — mga private key, signing infrastructure at user device — sa pamamagitan ng pagnanakaw ng kredensyal, social engineering at mga atake na kahawig ng SIM-swap. Sinabi ng mga security firm sa Cointelegraph na inaasahan nilang magdadala ang 2026 ng mas advanced na phishing at mga scam na tinulungan ng AI na kayang dayain kahit ang mga gumagamit na may teknikal na kaalaman na pumirma sa malisyosong transaksyon o magbunyag ng seed phrase.
Ang imprastraktura ng bridge ay naging isang partikular na mahinang punto. Ipinapakita ng dashboard ng hacks ng DefiLlama na ang mga bridge ay nagkakahalaga ng halos $3 bilyon sa humigit-kumulang $11.8 bilyon na ikinakategorya nito bilang “kabuuang halaga na na-hack,” na may malalaking indibidwal na insidente tulad ng mga exploit ng Ronin, Wormhole at Multichain na nagtatakda ng tono para sa cross-chain risk. Ang pinakabagong karagdagan sa listahan na iyon ay ang rsETH cross-chain bridge ng Kelp DAO, na tinamaan noong Abril 18 matapos na dayain ng isang umaatake ang isang cross-chain message sa isang LayerZero-based na link at gumawa o naglabas ng 116,500 rsETH sa isang address na kontrolado ng umaatake.
Ang mga token na iyon — na kumakatawan sa “restaked” Ether — ay nagkakahalaga ng humigit-kumulang $290–$293 milyon sa panahong iyon, o humigit-kumulang 18% ng kabuuang supply ng rsETH, at tinawag na pinakamalaking DeFi exploit ng 2026 sa ngayon ng mga outlet kabilang ang Bloomberg. Pinilit ng insidente ang Kelp DAO na i-pause ang bridge, iugnay ang mga emergency response sa mga exchange at protocol, at nagdulot ng sisihan sa default na single-validator configuration ng LayerZero, na sinasabi ng mga kritiko na nag-iwan sa sistema na epektibong isang-key-layo mula sa mapaminsalang paggawa ng mint.
Kahit na malayo sa mga exploit na umaagaw ng atensyon, patuloy na nagdudulot ng pinsala ang pang-araw-araw na pagkompromiso sa kredensyal. Ipinapakita ng datos ng DefiLlama na sinipi ng Cointelegraph na sa unang quarter ng 2026 lamang, ninakaw ng mga hacker ang humigit-kumulang $168.6 milyon mula sa 34 DeFi protocol, na ang pinakamalaking nag-iisang pagtama — isang $40 milyong pagnanakaw ng Step Finance — ay matutukoy pabalik sa isang private key compromise sa halip na isang purong code bug. Iminumungkahi ng trend na iyon na unti-unting tumitibay ang seguridad ng smart contract ng DeFi, habang tumutugon ang mga umaatake sa pamamagitan ng paglipat sa mga tool at proseso ng tao na nasa pagitan ng mga wallet at protocol.
Para sa mga gumagamit at koponan, malupit ngunit malinaw ang aral: kinakailangan ang mga audit at pormal na verifikasyon, ngunit hindi ito sapat. Ang mga hardware key, multi-sig scheme, segregated signing device, mahigpit na patakaran sa key-management, at walang humpay na phishing hygiene ay kritikal na ngayon sa pagprotekta ng crypto gaya ng gas optimisations at bug bounties noon pa man — dahil isang nakompromisong kredensyal lamang ang kinakailangan upang gawing siyam na-digit na pagkalugi ang isa pang linya sa database ng hacks ng DefiLlama.
