In april is er al meer dan $600 miljoen gestolen uit DeFi, bruggen en wallets, waardoor beveiliging van een zorg op protocolniveau is uitgegroeid tot een volwaardige marktrisicopremie.
Nieuwe geaggregeerde cijfers tonen aan dat cryptoprotocollen in de eerste 18 dagen van april al meer dan $606 miljoen hebben verloren aan hacks, waardoor het de slechtste maand voor exploits is sinds februari 2025 en de jaar-tot-datum buit van 2026 boven de $770 miljoen uitkomt. Volgens gegevens van DefiLlama zijn deze maand minstens 13 protocollen gecompromitteerd, waarbij KelpDAO en Drift Protocol samen goed zijn voor ongeveer 95% van de verliezen in april en ruwweg 75% van het totaal in 2026.
KelpDAO, een Ethereum liquid staking-protocol, leed op 18 april een aanval waarbij ongeveer 116.500 rsETH, ter waarde van ruwweg $292 miljoen, werd buitgemaakt, nadat een aanvaller cross-chain berichten vervalste om een LayerZero EndpointV2 bridge-contract te misleiden tot het vrijgeven van reserves. Drift, Solana's grootste gedecentraliseerde perpetuals-beurs, werd op 1 april getroffen door wat regionale media een "geavanceerde" exploit noemden, waarbij ongeveer $285 miljoen verloren ging. Dit is nu de op één na grootste beveiligingsinbreuk in de geschiedenis van Solana, na de Wormhole-hack van $326 miljoen in 2022.
De nieuwste golf van hacks beperkt zich niet tot smart contract-fouten of restaking-primitieven. Incidenten hebben routing- en infrastructuurlagen zoals Hyperbridge getroffen, evenals front-end en DevOps-providers zoals Vercel, waar aanvallers toegang kregen tot interne systemen en naar verluidt gestolen gegevens ter waarde van $2 miljoen aanbieden om "wereldwijde supply chain-aanvallen" aan te drijven.
Aan de menselijke kant onthulde walletprovider Zerion dat het werd aangevallen door Noord-Koreaanse hackers die AI-gestuurde, langetermijn social engineering-campagnes gebruikten om hot wallet-sleutels te compromitteren, waarbij ongeveer $100.000 werd gestolen terwijl gebruikersfondsen en de kerninfrastructuur intact bleven. De Security Alliance (SEAL) heeft minstens 164 kwaadaardige domeinen geïdentificeerd die verbonden zijn met de aan de DPRK gelinkte groep UNC1069, en beschrijft hun werkwijze als gedefinieerd door "geduld, precisie en het weloverwogen bewapenen van bestaande vertrouwensrelaties".
Gegevens uit de sector van eerdere incidenten, zoals de hot wallet-exploit van $70 miljoen bij de in Singapore gevestigde beurs Phemex in 2025, hadden al de neiging van aan Noord-Korea gekoppelde actoren benadrukt om gestolen USDT en USDC snel om te zetten in ETH om blacklists te omzeilen, een patroon dat volgens autoriteiten in 2026 voortduurt.
De marktstructuur reageerde in realtime toen de hacks in april zich opstapelden. Tussen 11:00 en 13:00 UTC op belangrijke nieuwsdagen toonden orderboeken in zwakkere mid-cap DeFi-namen klassieke "capitulatie"-signalen: eendaagse dalingen van ruwweg 5-8%, dunne biedingen en een zichtbare rotatie naar protocollen met schonere beveiligingsprestaties. Derivatenbeurzen zagen de basket-financiering voor DeFi licht negatief worden, terwijl de spotliquiditeit wegvloeide, het soort configuratie dat desks associëren met een brede "beveiligingsbelasting" op risicovolle activa in plaats van geïsoleerde idiosyncratische schokken.
Voor handelaren heeft dit beveiliging tot een expliciete factor gemaakt: leveraged DeFi-bèta verkopen bij exploit-nieuws, long blijven op gecentraliseerde platforms en volatiliteit-monetiserende infrastructuur, en droog kruit aanhouden voor gedwongen verkopers zodra slechte schulden en afschrijvingen volledig on-chain zijn erkend.
