W kwietniu skradziono już ponad 600 milionów dolarów z protokołów DeFi, mostów i portfeli, przekształcając bezpieczeństwo z problemu na poziomie protokołu w pełnoprawną premię za ryzyko rynkowe.
Świeże dane zbiorcze pokazują, że protokoły kryptowalutowe straciły już ponad 606 milionów dolarów w wyniku ataków hakerskich w pierwszych 18 dniach kwietnia, co czyni ten miesiąc najgorszym pod względem exploitów od lutego 2025 roku i podnosi tegoroczną sumę strat w 2026 roku powyżej 770 milionów dolarów. Według danych DefiLlama, w tym miesiącu naruszono bezpieczeństwo co najmniej 13 protokołów, przy czym KelpDAO i Drift Protocol odpowiadają łącznie za około 95% strat kwietniowych i mniej więcej 75% całkowitej sumy w 2026 roku.
KelpDAO, protokół płynnego stakowania Ethereum, padł ofiarą ataku 18 kwietnia, w wyniku którego skradziono około 116 500 rsETH, o wartości około 292 milionów dolarów, po tym jak atakujący sfałszował wiadomości cross‑chain, aby oszukać kontrakt mostu LayerZero EndpointV2 i doprowadzić do uwolnienia rezerw. Drift, największa zdecentralizowana giełda kontraktów wieczystych Solany, została zaatakowana 1 kwietnia w wyniku czegoś, co lokalne media nazwały „wyrafinowanym” exploitem, tracąc około 285 milionów dolarów w największym incydencie bezpieczeństwa w historii Solany po ataku na Wormhole o wartości 326 milionów dolarów w 2022 roku.
Najnowsza fala ataków hakerskich nie ogranicza się do błędów w inteligentnych kontraktach ani prymitywów restakingu. Incydenty dotknęły warstwy routingu i infrastruktury, takie jak Hyperbridge, a także dostawców front‑endowych i DevOps, takich jak Vercel, gdzie atakujący uzyskali dostęp do wewnętrznych systemów i rzekomo sprzedają skradzione dane za 2 miliony dolarów, aby napędzać „ataki na globalne łańcuchy dostaw”.
Od strony ludzkiej, dostawca portfeli Zerion ujawnił, że padł ofiarą ataku hakerów z Korei Północnej, którzy wykorzystali kampanie inżynierii społecznej oparte na sztucznej inteligencji, z długim horyzontem czasowym, aby skompromitować klucze do gorących portfeli, kradnąc około 100 000 dolarów, pozostawiając jednocześnie fundusze użytkowników i podstawową infrastrukturę nienaruszone. Security Alliance (SEAL) zidentyfikował co najmniej 164 złośliwe domeny powiązane z grupą UNC1069, powiązaną z KRLD, opisując jej modus operandi jako charakteryzujący się „cierpliwością, precyzją i celowym wykorzystaniem istniejących relacji zaufania”.
Dane branżowe z wcześniejszych epizodów, takich jak exploit gorącego portfela o wartości 70 milionów dolarów na singapurskiej giełdzie Phemex w 2025 roku, już wcześniej wskazywały na tendencję podmiotów powiązanych z Koreą Północną do szybkiego konwertowania skradzionych USDT i USDC na ETH w celu uniknięcia czarnych list, co, jak twierdzą władze, utrzymuje się w 2026 roku.
Struktura rynku zareagowała w czasie rzeczywistym, gdy kwietniowe ataki narastały. Między 11:00 a 13:00 UTC w kluczowe dni informacyjne, księgi zleceń w słabszych, średniokapitalizacyjnych projektach DeFi pokazywały klasyczne oznaki „kapitulacji”: jednodniowe spadki o około 5–8%, słabe oferty kupna i widoczną rotację w kierunku protokołów o lepszej historii bezpieczeństwa. Na platformach instrumentów pochodnych finansowanie koszyków DeFi przechyliło się nieznacznie na minus, podczas gdy płynność spotowa wyparowała, co jest konfiguracją, którą biurka handlowe kojarzą z szerokim „podatkiem bezpieczeństwa” na aktywach ryzykownych, a nie z izolowanymi, idiosynkratycznymi szokami.
Dla traderów bezpieczeństwo stało się wyraźnym czynnikiem: rezygnacja z lewarowanego beta DeFi w odpowiedzi na nagłówki o exploitach, utrzymywanie długich pozycji na scentralizowanych platformach i infrastrukturze monetyzującej zmienność, a także zachowanie gotówki na wypadek przymusowych sprzedawców, gdy złe długi i odpisy zostaną w pełni rozpoznane w łańcuchu.
