Isa sa pinakamasamang taon sa kasaysayan.Decentralized Finance na mga pag-atake, at kailangan pa nating tapusin ang kalahati.
Sa mga limang buwan bago ang 2026, higit sa 840 milyong dolyar sa DeFi hacking attacks ay nagdulot ng higit sa $600 milyong pagkawala—tanging sa Abril lamang, higit sa $600 milyon ang nakuha, kung saan ang dalawang pinakamalaking pag-atake sa taon ay: KelpDAO vulnerability exploit na nagdulot ng $292 milyong pagkawala at $285 milyong drift protocol vulnerability.
Ang mga pagkawala ay patuloy hanggang sa Mayo. Thunder Chain security researchers ay natuklasan ang posibleng cross-chain vulnerability na nakaaapekto sa halagang higit sa $10 milyon, at agad na isinara ang pagtitiwala.
Trusted Volume,Echo Protocol,Step Finance,Truebit,Resolv Labs,Wollo Protocol,Rhea Finance,Verus-Ethereum Bridge at iba pang maraming kompanya ay sumali sa kalamidad, at ang listahang ito ay parang isang stress test sa bawat asumpsyon ng pagkakatiwala na nakabatay ang DeFi.DeFiLlama Data.
Ang mga eksperto dekode ay nagkakasundo sa diagnosis na ang mga bagong pangyayari sa pag-hack ng DeFi ay nagpapakita ng mga struktural na kahinaan sa larangan ng DeFi. Bridge at mga sistema ng pamamahala, at ang pag-unlad ng artificial intelligence ay maaaring tumutulong sa mga hacker na mas mabilis na makahanap ng mga vulnerabilities.
Si Natalie Newson, senior blockchain investigator sa Web3 security platform na CertiK, ay sinabi sa Decrypted na bagaman ang mga pag-atake sa cryptocurrency noong Abril ay naging sobrang serio, ang pangkalahatang trend ay patuloy na stable at mas mababa kaysa sa peak na bilang ng insidente noong 2023.
“Ang Abril 2026 ay isang buwan kung saan madalas ang pag-atake sa mga vulnerability sa cryptocurrency; tatlong araw lamang ang walang pag-atake, at sa bawat araw ay kumukuha ng hindi bababa sa $10,000,” sabi niya.
“Gayon man, mula sa mas malawak na pananaw, ang bilang ng mga pangyayari (na hindi kasama ang phishing) ay maaaring ituring na katatagan, at patuloy na mas mababa kaysa sa peak noong 2023,” ayon kay Newsom, na idinagdag na ang gravidad noong Abril ay dulot ng 14 na pag-atake na nagresulta sa pagkawala ng higit sa isang milyong dolyar, na ikalawa lamang sa 16 noong Setyembre 2025.
Koreang Hilaga factor
Ari Redbord, pangulo ng pandaigdigang patakaran at pamahalaang pag-uugali ng TRM Labs, ay sinabi sa Decrypt na ang [pagtaas] na ito ay maaaring maikonekta sa isang estado actor na naging desisibong banta mula sa isang marginal na papel sa loob ng limang taon.
Sinabi ni Redbird: "Ang Korea ng Hilaga ay ang pangunahing driverr, at ang aksyon na ito ay nagsisiging mas tumpak, hindi mas malawak." Dagdag pa niya, ang mga aktor na may kinalaman sa Korea ng Hilaga ay kasali din. Na-record na ang 76% ng mga pagkawala mula sa mga hacker sa cryptocurrency sa buong mundo sa unang apat na buwan ng 2026, mas mataas kaysa sa 64% noong 2025 at sa mas mababa sa 10% noong 2020.
Sinabi niya: "Hindi lamang ginagamit ng Korea ng Hilaga ang teknolohiya para sirain ang kalawakan, kundi pati na rin ang mga kumplikado at mabuting iskedyul na mga paraan ng sosyal na inhenyeriya."
Ang pinakamalaking DeFi hack mula pa noong taong ito ay nangyari noong Abril 18, kung saan ang mga hacker ay nakuha ang halos 116,500 na rsETH mula sa isang cross-chain bridge, na may halagang humigit-kumulang sa $292 milyon.
Ang LayerZero ay ang pangunahing provider ng message-passing infrastructure para sa bridge protocol, at sa kanilang pinakabagong pahayag, sinabi nila na... 尸检报告 ang pag-atake ay nagsimula noong Marso 6, nang maging biktima ng social engineering isang developer at mawala ang session key.
Magbabahagi kami ng aming natapos na ulat sa pagsisiyasat ng insidente noong Abril 18, na handa ng … @Mandiant at @CrowdStrike. Ipepabili namin ang executive summary at ang buong ulat sa sumusunod na link.
Sa nakalipas na apat na linggo, kasama namin ang mga libo-libong kapartner upang tulungan sila... pic.twitter.com/yVZdqjLTeT
— LayerZero (@LayerZero_Core)May 20, 2026
Ang cross-chain message passing protocol ay nagsasabi na ang Mandiant, CrowdStrike, at mga independiyenteng researcher ay isinisi sa North Korean threat actor na TraderTraitor, kilala rin bilang UNC4899.
Sinabi ni Redbord na ang mga structural na dahilan kung bakit patuloy na binabanta ang DeFi ay nasa kung saan at paano ipinapalagay at iniilipat ang mga pondo.
Sinabi niya: "Ang cross-chain complexity ng DeFi ay naggagawa ng isang kapaligiran na puno ng mga layunin ng pag-atake—ang mga bridge ay laging nagdudulot ng pinakamalaking pagkawala sa isang pagkakataon, at ang mga mode ng pagkabigo ay paulit-ulit na lumalabas nang nakakagulat na konsistensya dahil ang pangunahing problema ay arkitektural."
Repeated pattern
Raz Niv, co-founder at Blockaid at Chief Technology Officer, told Decrypted that in this year’s biggest incidents, three technical patterns repeatedly emerged: privilege access control failures, malicious proxy upgrades (where attackers replace the implementation contract with a backdoored version), and cross-chain message validation vulnerabilities.
Tungkol sa pag-access na may pribilehiyo, sinabi ni Niv na ang kumpanya ay mmonitor ang “hindi karaniwang mga pangyayari sa pagbibigay ng papel at hindi awtorisadong pagtaas ng pribilehiyo,” tulad ng sumusunod na pangyayari: pagpapabaya sa Echo Protocol na nakikita sa pagkawala ng admin key o maling konfigurasyon.
“Ang mga attacker ay o nagkakaroon ng private key sa pamamagitan ng social engineering, o nagpapahalaga ng hindi maayos na multi-signature threshold,” dagdag niya.
Ipinahiwatig niya ang pagkabigo sa mga aspeto tulad ng privilege access control, malicious proxy escalation, at cross-chain verification system, at sinabi na ang kamakailang pag-atake ay ipinakita ang mas malalim na kahinaan sa mga ipinapalagay na konektado sa patuloy na kumplikadong imprastruktura.
Niv ay sinabi: "Ang pagkakatulad ay hindi nasa kagawian mismo, kundi sa bawat antas ng abstraksiyon (agent, admin role, cross-chain messaging) na nagdadala ng mga asumpsyon sa pagkakatiwala, na sistematikong sinusubukan ng mga attacker."
Epekto ng artificial intelligence
Niv ay nagpahayag na ang artificial intelligence ay patuloy na nagbabago ng paraan ng paghahanap ng mga vulnerability, ngunit nagbabala rin siya na ang epekto ng artificial intelligence ay madalas maliit na nauunawaan.
Sinabi niya na ang kasalukuyang modelo ay naging lalong epektibo sa malawakang pagkilala sa mga kilalang vulnerabilities, at “nag-aautomatize ang trabaho ng mga kasanayang auditor,” habang nagbabala na ang “totoong pag-aalala ay hindi ang pagpapalit ng artificial intelligence sa mga human attacker,” kundi ang pagpapalakas ng kakayahan ng mga attacker sa pamamagitan ng pagproseso ng reconnaissance work, na nagpapahintulot sa kanila na mag-focus sa mas kumplikadong teknik.
“Ang magandang balita ay ang mga tagapagtanggol ay maaaring gamitin ang mga parehong kasangkapan. Ang pagmamanman na may tulong ng AI at ang pagpapakita ay nagsisiging mahalaga para sa mga tiyak na koponan na nagtatrabaho upang makasunod sa mga pagbabago,” dagdag ni Niv.
Ni纽森 noted that the surge in DeFi hacking attacks has shown a similar trend, saying, "Advancements in artificial intelligence may be one factor contributing to this phenomenon, although it is not the only one."
Dagdag pa niya, natuklasan ng CertiK ang pagtaas ng paggamit ng lumang kontrata at mga hindi patotohanang kontrata, na “lohikal na nagpapahiwatig na tumutulong ang artificial intelligence sa paghahanap ng mga vulnerabilities.”
Kasunod nito, sinabi ni Redbord na “ang mga masasamang aktor ay nagpapalaganap nang malawakan ng artificial intelligence” para sa pagmamasid, sosyal na inhenyeriya, at disenyo ng pagpapahusay, at dagdag niya na ang kumplikadong kalikasan ng mga pag-atake tulad ng Drift ay “nagsasalamin ng mga workflow na may tulong ng artificial intelligence.”
Ang mga analista ng TRM ay naniniwala na ang mga mandirigma ng Korea ng Hilaga ay patuloy na naglalagay ng mga kasangkapan sa artificial intelligence sa kanilang mga aksyon, at sinabi niya, "Ang solusyon ay ang paglalagay ng artificial intelligence sa depensa nang may agresibong paraan na katumbas ng paggamit nito ng kalaban sa pag-atake."
Ito ang code
Sinabi ni Redbord na ang mga pag-atake sa DeFi ay "isang problema na maaaring lutasin", ngunit sinabi niya rin na kailangan ng industriya na maging mas tapat sa pagpapaliwanag kung saan talaga nangyari ang mga pagkabigo.
Lumabas siya na, "Ang pagsusuri ay maaaring pigilan ang mga bug sa code," ngunit hindi ito makakapigil sa mga komplikadong pag-atake sa sosyal na inhenyeriya tulad ng Drift, kung saan ay inaangkin na kasali ang mga tagapag-ayos ng Korea ng Hilaga. Pinaghirapan ang ilang buwan upang makakuha ng pag-access bago maganap ang paglabag.
Dagdag pa ng eksperto: “Ang epektibong modelo ay ang real-time public-private partnership.”
Sinabi ni Newsom na ang 2026 ay maaaring magrepresenta ng “isang pagbabagong evolusyonaryo,” at pinagtatalakay niya na ang industriya ay nagsisimulang makita ang cybersecurity bilang “isang full-stack issue” na kasama ang “artificial intelligence, North Korea, o infrastructure at tao.”
“Kung may mga butas sa iyong offline manual processes, kahit gaano pa kaisa ang mga matematikal na pagkalkula sa chain, wala itong magiging epekto,” sabi niya, habang pinapansin na patuloy na umuunlad ang industriya patungo sa “mga praktikal na struktural na solusyon” upang harapin ang mga panganib sa imprastruktura at sosyal na insinyero.
Nasira ang tiwala
Ang pagkasira ng tiwala sa DeFi ay mahirap sukatin, ngunit madaling makita.
Ang vulnerability ng Kelp DAO ay nagdulot ng paglabas ng 6.2 bilyong dolyar na pondo. Aave sa harap ng selbong selbong na rescue operation na pinamumunuan ni Stani Kulechov, ang CEO ng Aave, na tinatawag na “DeFi United”, ay nakapag-ayos ng halagang $303 milyon sa 132,650 ETH upang garantisahin ang mga dudoso na utang.
Ipapakita ng magkakasunod na tugon na ang industriya ay kayang mag-organisa. Ipinapakita rin nito kung gaano karaming pera ang kailangan upang itago ang isang pagkakakita sa isang tulay.
Naisip ni Newsom na ang mga epekto ay lubos na nakadepende kung sino ang maapektuhan.
“Maaaring ituring ng mga karanasan na propesyonal ang nakaraang anim na linggo bilang bagay na natural—isang karaniwang bahagi ng susunod na yugto ng pag-unlad, at isang malungkot na karanasan na dapat magbigay ng aral,” sabi niya.
Sinabi niya na ang paulit-ulit na pag-atake ay may iba’t ibang epekto sa mga bagong participant sa merkado, at binigyan ng babala na para sa mga user na nagkakaroon ng malaking pagkawala, ang konsekwensya ay hindi “aral na karanasan”, kundi nagdulot ng “pagkakaroon ng problema” tungkol sa pangmatagalang “kakayahan at kaligtasan” ng cryptocurrency, kung saan ang teknikal na pag-aayos ay madalas ay masyadong huli upang mabawi ang mga pagkawala.