A DeFi-ben a hackerek nem lassítanak a tempón. Három protokollt is megtámadtak, egy nap alatt, és ez nem azért rossz hír a szektornak, mert történt néhány újabb exploit, hanem azért, mert egyre jobban látszik az aszimmetria.
A támadói oldal gyorsan alkalmazkodik az új eszközökhöz, miközben a védelem még mindig sokszor utólag próbál kapkodni.
Április: eddig 606 millió dolláros veszteség
2026 áprilisa már most rekordot döntött. A hónap DeFi vesztesége meghaladta a 606 millió dollárt, az eddigi rekordot február 2025 óta nem döntötték meg.
A Kelp DAO rsETH exploitja 292 millió dollárral, a Drift Protocol social engineering-en alapuló támadása 285 millióval adta ennek gerincét, de mellettük a Mantra Chain, a Lista DAO és mások is szenvedtek.
Erre érkezett a napokban a reggeli tripla exploit. Az Aftermath Finance Sui-alapú határidős termékéből 1,14 millió USDC tűnt el 36 perc alatt, 11 tranzakcióban, miután a rendszer egy hibája negatív díj beállítását tette lehetővé, amellyel a támadó díj fizetése helyett pénzt szívhatott ki a protokollból.
A Sui Foundation és a Mysten Labs vállalta az áldozatok kártalanítását. A Base-en futó Syndicate Commons bridge-ből körülbelül 18,5 millió SYND tokent vontak ki, amelyből a támadó nagyjából 330 ezer dollárt realizált likvidálás után.
A Near-alapú Sweat Economy esetében 13,71 milliárd SWEAT, a teljes kínálat 65%-a ment ki több tárcából egy 30 másodperces időablakban, bár az incidens pontos természete még bizonytalan, a KuCoin szerint az esemény utólag akár „mentési akciónak” bizonyulhat.
April 2026 is truly brutal
25 hacks in 29 days with $629M+ stolen
Just now: SweatEconomy drained $3.46M (65% of supply) in only 30 seconds
One exploit every 27 hours
The month isn’t even over yet pic.twitter.com/u7FGozR3Fu
— jussy (@jussy_world) April 29, 2026
a16z kutatás: az AI 70%-os sikerrel mondja meg, hogy hogyan érdemes támadni
Az a16z crypto kutatói arra keresték a választ, hogy az AI tényleg végre tudna-e hajtani egy támadást.
Ehhez 20 múltbeli Ethereum ár-manipulációs incidenst választottak ki, és Codex GPT 5.4-et tesztelték rajtuk.
Alapállapotban, domain-tudás nélkül, a szerződéscím és az alap eszközök ismeretével az AI sikerességi rátája mindössze 10% volt. Amikor a kutatók strukturált domain-tudást adtak az agentnek, valós támadási eseményekből kivont sebezhetőségi okok, támadási útvonalak és mechanizmus-osztályozások, a sikerességi ráta 70%-ra ugrott.
Fontos, hogy ez nem azt jelenti, hogy akkor most már létezik egy félelmetes, korlátok nélküli AI-szuperhacker.
Minden sikertelen esetben az AI pontosan azonosította a sérülékenységet, de nem tudta megépíteni a nyereséges exploitot, tehát például nem sikerült összeraknia a komplex, többlépéses támadásokat, ezek továbbra is korlátot jelentenek.
A lényeg mégis az, hogy a sebezhetőség-felderítés automatizálható, és ha a strukturált támadási tudásbázisok, amelyek ma már könnyen hozzáférhetők, bekerülnek az agent-eszközök mellé, a sebesség drasztikusan nőhet.
James Seyffart, a Bloomberg ETF-elemzője is arra figyelmeztette a közönséget, hogy ezek a protokoll-hibák nagy kockázatot jelentenek.
A védekezési probléma: az egyetlen audit már nem elég
Egyetlen reggelen három különböző réteget értek el a támadók, a határidős kötéseket, a bridge architektúrát és ha bebizonyosodik, hogy a Sweat esetében támadás történt, akkor a kulcskezelési gyengeséget is felvehetjük a listára.
Más esetekben orákulum-manipuláció, harmadik felek integrált eszközei, vagy éppen cross-chain komponensek játszottak szerepet.
Eljutottunk arra a pontra, hogy a “majd auditáljuk az okosszerződést” hozzáállás semmit sem ér, mert a valódi támadási felület ma a teljes infrastruktúrában szóródik szét.
Ráadásul, ha a támadók egyre gyorsabbak, és az AI ezt még tovább gyorsítja, akkor a védelemnek is minden szinten fejlődnie kell. Az áprilisi veszteséglista azt mutatja, hogy a két oldal még mindig nincs egyensúlyban.
Olvastad már? Az on-chain pénzügy fordulóponthoz ért
Kriptopiaci kutató, a Kriptoworld.hu külsős szerzője
Tűz. Kerék. Gőzgép. Bitcoin.
📅 Megjelenés: 2026. május 2. • 🕓 Utolsó frissítés: 2026. május 1.
✉️ Kapcsolat: [email protected]
Tájékoztatás: A kriptoworld.hu oldalon található információk és elemzések a szerzők magánvéleményét tükrözik. A jelen oldalon megjelenő írások, cikkek nem valósítanak meg a 2007. évi CXXXVIII. törvény (Bszt.) 4. § (2). bek 8. pontja szerinti befektetési elemzést és a 9. pont szerinti befektetési tanácsadást.
Bármely befektetési döntés meghozatala során az adott befektetés megfelelőségét csak az adott befektető személyére szabott vizsgálattal lehet megállapítani, melyre a jelen oldal nem vállalkozik és nem is alkalmas. Az egyes befektetési döntések előtt éppen ezért tájékozódjon részletesen és több forrásból, szükség esetén konzultáljon befektetési tanácsadóval!
A cikkekben megjelenő esetleges hibákért téves információkból eredendő anyagi károkért a kriptoworld.hu felelősséget nem vállal.