W zaledwie 18 dni kwietnia 2026 roku ekosystem DeFi zarejestrował ponad 12 istotnych ataków sumujące się do 606 Milionów USD strat. To najgorszy wynik od włamania do Bybit w 2025 roku i cztery razy więcej niż całość pierwszego kwartału roku.
Dwie sprawy, które zdominowały miesiąc
Drift Protocol — 1 kwietnia — 285 Milionów USD
To, co wyglądało jak żart prima aprilis, zamieniło się w największy incydent roku do tego momentu. DEX oparta na Solanie została wykorzystana poprzez wstępnie podpisane autoryzacje ukryte w kontraktach, będące wynikiem kampanii inżynierii społecznej, która trwała miesiące.
Śledztwo przypisuje atak grupom związanym z Koreą Północną — ten sam profil operacyjny widoczny w incydentach przeciwko Bybit i innym giełdom. Modus operandi obejmuje:
- Tworzenie fałszywych tożsamości "deweloperów" na LinkedIn i GitHub;
- Infiltracja zespołów poprzez zdalne zatrudnianie jako freelancerzy;
- Stopniowe wstrzykiwanie złośliwych podpisów w system uprawnień;
- Zsynchronizowana aktywacja exploita.
Tether ogłosiła zobowiązanie w wysokości 147,5 Milionów USD na przewodzenie planowi odbudowy protokołu.
Kelp DAO — 19 kwietnia — 293 Miliony USD
Kilka tygodni później Kelp DAO przewyższył Drift jako największy exploit 2026 roku. Atak skierowany był na most cross-chain zbudowany na LayerZero, osuszając niemal 300 Milionów USD w jedną noc soboty. Portfele powiązane z kradzieżą już zaczęły przenosić fundusze przez usługi mieszające.
Zdarzenie spowodowało ogólny exodus z DeFi: zagregowany TVL (Total Value Locked) spadł 14 Miliardów USD w ciągu 48 godzin, do najniższego poziomu w ciągu roku.
Inne incydenty miesiąca
- CoW Swap (14/kwiecień): 1,2 Miliona USD poprzez przejęcie domeny, z napastnikami podszywającymi się pod pracowników rejestru.
- Vercel (20/kwiecień): naruszenie u dostawcy infrastruktury internetowej ujawniło klucze API, zmuszając projekty kryptowalut do masowej rotacji poświadczeń.
- Ice Open Network (15/kwiecień): naruszenie tożsamości obejmujące byłych partnerów i wyciek bazy użytkowników.
Powtarzające się wzorce
Analizując ataki razem, trzy wektory zdominowały miesiąc:
- Długoterminowa inżynieria społeczna — to już nie jest "phishing e-mailowy". To miesiące infiltracji.
- Mosty cross-chain — pozostają strukturalnym słabym punktem multichaina.
- Łańcuch dostaw — atakowanie zależności (Vercel, dostawca domeny) jest bardziej opłacalne niż atakowanie ostatecznego protokołu.
Perspektywa ON3X
Każdy miesiąc taki jak kwiecień utwierdzą nas w przekonaniu, dlaczego wspieramy model kryptowaluty będący w kuratelę platformy regulowanej dla większości użytkowników. Samopieczęcia i DeFi mają swoje miejsce — ale wymagają wiedzy technicznej, którą ma średni rynek. Kiedy ktoś pada w phishing, który osusza wstępnie podpisane autoryzacje, użytkownik traci wszystko, a protokół nie ma do kogo się zwrócić.
Na platformach takich jak ON3X, segregacja aktywów, ubezpieczenia regulacyjne, monitoring on-chain 24/7 i raportowanie organom to część umowy. To nie jest to samo ryzyko. To nie jest to samo doświadczenie.
Dla tych, którzy operują w DeFi: sprawdzą dzisiaj uprawnienia przyznane każdemu kontraktowi za pomocą narzędzi takich jak Revoke.cash. Lekcja kwietnia to to, że stare podpisy zabijają.