Obawy dotyczące bezpieczeństwa w kryptowalutach nasiliły się po tym, jak współzałożyciel OpenZeppelin, Manuel Aráoz, ogłosił, że doradził swoim przyjaciołom i rodzinie wyjście ze wszystkich pozycji w zdecentralizowanych finansach, włączając w to ekspozycję na główne protokoły pożyczkowe.
We wpisie opublikowanym we wtorek na platformie X, Aráoz stwierdził, że nie uważa już „całego DeFi” za bezpieczne, argumentując, że równowaga między atakującymi a obrońcami przechyliła się zbyt mocno na korzyść hakerów. W jego ostrzeżeniu uwzględnione zostały nawet pozycje niższego ryzyka, związane z uznanymi protokołami, takimi jak Aave, MakerDAO i Compound.
Opisując obecny stan bezpieczeństwa smart kontraktów, Aráoz powiedział, że agenci kodujący stali się „nadludzcy w znajdowaniu luk”, podczas gdy deweloperzy pozostają uwięzieni w systemie, gdzie „obrońcy muszą naprawić każdy błąd, podczas gdy atakujący potrzebują tylko jednego exploita, aby ukraść środki”.
„Prywatnie doradzałem przyjaciołom i rodzinie, aby wycofali się ze wszystkich pozycji DeFi, włączając w to niskiego ryzyka „blue chipy” takie jak Aave, MakerDAO i Compound” – dodał.
Komentarze Aráoza pojawiły się w momencie, gdy branża kryptowalut nadal zmaga się z jednym z najbardziej szkodliwych okresów dla exploitów DeFi od czasu ataku na Bybit o wartości 1,5 miliarda dolarów w lutym 2025 roku.
Dane z DefiLlama pokazały, że tylko w kwietniu z protokołów DeFi skradziono około 629,7 miliona dolarów, co czyni ten miesiąc najgorszym dla hacków związanych z kryptowalutami od ponad roku. Dwa ataki odpowiadały za większość strat.
Wśród największych incydentów, protokół Drift stracił około 285 milionów dolarów po tym, jak atakujący rzekomo wykorzystali kampanię inżynierii społecznej, która trwała sześć miesięcy.
Kelp DAO doświadczyło kolejnego exploita o wartości 293 milionów dolarów, związanego z lukami w jego infrastrukturze mostu międzyłańcuchowego (cross-chain bridge). Badacze bezpieczeństwa i śledczy blockchain szeroko powiązali oba ataki z północnokoreańskimi grupami hakerskimi wspieranymi przez państwo.
DefiLlama odnotowało 27 incydentów exploitów DeFi w kwietniu. Jednocześnie, całkowita wartość zablokowana (TVL) w protokołach DeFi spadła o około 14% w porównaniu z połową kwietnia, z niemal 172 miliardów dolarów do około 148 miliardów dolarów.
Koncentracja strat wynikała w dużej mierze ze słabości związanych z mostami (bridge), błędów w zarządzaniu uprzywileajowanym dostępem oraz pomyłek operacyjnych, a nie tylko z pojedynczych błędów w kodowaniu.
Poza dwoma największymi naruszeniami, w ciągu miesiąca protokoły nadal były celem kilku mniejszych ataków. Jak wcześniej informował crypto.news, protokół Wasabi stracił około 5,5 miliona dolarów w sieciach Ethereum, Base, Blast i Berachain podczas aktywnego exploita.
Platforma move-to-earn Sweat Economy również odnotowała straty w wysokości około 3,46 miliona dolarów po tym, jak atakujący w mniej niż 30 sekund opróżnili prawie 65% jej puli płynności. Projekt później poinformował, że część skradzionych aktywów została zamrożona na MEXC, podczas gdy wysiłki na rzecz odzyskania trwały.
W międzyczasie, na blockchainie Sui, zdecentralizowana platforma handlowa Aftermath Finance straciła prawie 1,1 miliona dolarów w USDC z platformy kontraktów wieczystych. Firma Blockaid zajmująca się bezpieczeństwem blockchainu stwierdziła, że atakujący przeprowadził 11 transakcji w ciągu około 36 minut.
Chociaż maj nie przyniósł strat na skalę obserwowaną w kwietniu, incydenty bezpieczeństwa nadal występowały w sektorze DeFi.
Wśród najnowszych przypadków, most Ethereum Verus Network został wykorzystany w ataku na kwotę 11,6 miliona dolarów. Platforma rynku predykcyjnego Polymarket również ujawniła w zeszłym tygodniu naruszenie na kwotę 573 200 dolarów, o którym firma powiedziała, że mogło być związane ze skompromitowanym kluczem prywatnym powiązanym z wewnętrznym portfelem doładowań.
