Tháng 4 đã chứng kiến hơn 600 triệu USD bị đánh cắp trên các nền tảng DeFi, cầu nối (bridges) và ví, biến bảo mật từ một mối lo ngại cấp độ giao thức thành một khoản phí rủi ro thị trường toàn diện.
Các số liệu tổng hợp mới cho thấy các giao thức tiền điện tử đã thiệt hại hơn 606 triệu USD do các cuộc tấn công trong 18 ngày đầu tháng 4, biến đây thành tháng tồi tệ nhất về các cuộc tấn công kể từ tháng 2 năm 2025 và đẩy tổng thiệt hại lũy kế từ đầu năm 2026 lên trên 770 triệu USD. Theo dữ liệu từ DefiLlama, ít nhất 13 giao thức đã bị xâm phạm trong tháng này, trong đó KelpDAO và Drift Protocol chiếm khoảng 95% tổng thiệt hại của tháng 4 và khoảng 75% tổng thiệt hại của năm 2026.
KelpDAO, một giao thức staking thanh khoản trên Ethereum, đã bị tấn công vào ngày 18 tháng 4, làm cạn kiệt khoảng 116.500 rsETH, trị giá khoảng 292 triệu USD, sau khi một kẻ tấn công giả mạo các tin nhắn cross-chain để lừa hợp đồng cầu nối LayerZero EndpointV2 giải phóng các khoản dự trữ. Drift, sàn giao dịch phái sinh vĩnh cửu phi tập trung lớn nhất của Solana, đã bị tấn công vào ngày 1 tháng 4 trong một vụ việc mà truyền thông khu vực gọi là một cuộc tấn công "tinh vi", thiệt hại khoảng 285 triệu USD, trở thành vụ vi phạm bảo mật lớn thứ hai trong lịch sử Solana sau vụ hack Wormhole trị giá 326 triệu USD vào năm 2022.
Làn sóng tấn công mới nhất không chỉ giới hạn ở các lỗi hợp đồng thông minh hay các nguyên thủy restaking (restaking primitives). Các sự cố đã tấn công vào các lớp định tuyến và cơ sở hạ tầng như Hyperbridge cũng như các nhà cung cấp front-end và DevOps như Vercel, nơi kẻ tấn công đã truy cập vào các hệ thống nội bộ và được cho là đang rao bán dữ liệu đánh cắp với giá 2 triệu USD để thúc đẩy các "cuộc tấn công chuỗi cung ứng toàn cầu".
Về phía con người, nhà cung cấp ví Zerion tiết lộ rằng họ đã bị các tin tặc Triều Tiên nhắm mục tiêu, những kẻ này đã sử dụng các chiến dịch kỹ thuật xã hội được hỗ trợ bởi AI, có tầm nhìn dài hạn để xâm phạm các khóa ví nóng (hot-wallet keys), đánh cắp khoảng 100.000 USD trong khi vẫn để nguyên quỹ của người dùng và cơ sở hạ tầng cốt lõi. Liên minh Bảo mật (SEAL) đã xác định ít nhất 164 tên miền độc hại có liên quan đến nhóm UNC1069 liên kết với CHDCND Triều Tiên, mô tả phương thức hoạt động của nhóm này được xác định bởi "sự kiên nhẫn, độ chính xác và việc cố ý biến các mối quan hệ tin cậy hiện có thành vũ khí".
Dữ liệu ngành từ các vụ việc trước đó, như vụ tấn công ví nóng trị giá 70 triệu USD tại sàn giao dịch Phemex có trụ sở tại Singapore vào năm 2025, đã chỉ ra xu hướng của các tác nhân liên kết với Triều Tiên là nhanh chóng chuyển đổi USDT và USDC bị đánh cắp thành ETH để tránh danh sách đen, một mô hình mà các nhà chức trách cho biết vẫn tiếp diễn vào năm 2026.
Cấu trúc thị trường đã phản ứng ngay lập tức khi các vụ tấn công trong tháng 4 chồng chất. Trong khoảng thời gian từ 11:00 đến 13:00 UTC vào các ngày có tin tức quan trọng, sổ lệnh (order books) của các tên tuổi DeFi vốn hóa trung bình yếu hơn đã cho thấy các dấu hiệu "đầu hàng" điển hình: sụt giảm khoảng 5–8% trong một phiên, lệnh mua mỏng (thin bids) và sự dịch chuyển rõ rệt sang các giao thức có hồ sơ bảo mật sạch hơn. Các sàn giao dịch phái sinh đã chứng kiến tài trợ rổ (basket funding) cho DeFi hơi nghiêng về tiêu cực trong khi thanh khoản giao ngay (spot liquidity) cạn kiệt, một cấu hình mà các nhà môi giới liên kết với "thuế bảo mật" rộng rãi đối với các tài sản rủi ro chứ không phải các cú sốc đặc trưng đơn lẻ.
Đối với các nhà giao dịch, điều đó đã biến bảo mật thành một yếu tố rõ ràng: giảm bớt beta DeFi có đòn bẩy khi có tin tức về các cuộc tấn công, giữ vị thế mua (long) tại các sàn tập trung và cơ sở hạ tầng kiếm lợi từ biến động, đồng thời giữ tiền mặt (dry powder) cho những người bán bắt buộc khi nợ xấu và các khoản ghi giảm giá trị được ghi nhận đầy đủ trên chuỗi (on-chain).
