A DeFi-ben a hackerek nem lassítanak a tempón. Három protokollt is megtámadtak, egy nap alatt, és ez nem azért rossz hír a szektornak, mert történt néhány újabb exploit, hanem azért, mert egyre jobban látszik az aszimmetria.
A támadói oldal gyorsan alkalmazkodik az új eszközökhöz, miközben a védelem még mindig sokszor utólag próbál kapkodni.
Április: eddig 606 millió dolláros veszteség
2026 áprilisa már most rekordot döntött. A hónap DeFi vesztesége meghaladta a 606 millió dollárt, az eddigi rekordot február 2025 óta nem döntötték meg. A Kelp DAO rsETH exploitja 292 millió dollárral, a Drift Protocol social engineering-en alapuló támadása 285 millióval adta ennek gerincét, de mellettük a Mantra Chain, a Lista DAO és mások is szenvedtek.
Erre érkezett a napokban a reggeli tripla exploit. Az Aftermath Finance Sui-alapú határidős termékéből 1,14 millió USDC tűnt el 36 perc alatt, 11 tranzakcióban, miután a rendszer egy hibája negatív díj beállítását tette lehetővé, amellyel a támadó díj fizetése helyett pénzt szívhatott ki a protokollból. A Sui Foundation és a Mysten Labs vállalta az áldozatok kártalanítását.
A Base-en futó Syndicate Commons bridge-ből körülbelül 18,5 millió SYND tokent vontak ki, amelyből a támadó nagyjából 330 ezer dollárt realizált likvidálás után.
A Near-alapú Sweat Economy esetében 13,71 milliárd SWEAT, a teljes kínálat 65%-a ment ki több tárcából egy 30 másodperces időablakban, bár az incidens pontos természete még bizonytalan, és a KuCoin szerint az esemény utólag akár „mentési akciónak” bizonyulhat.
April 2026 is truly brutal
25 hacks in 29 days with $629M+ stolen
Just now: SweatEconomy drained $3.46M (65% of supply) in only 30 seconds
One exploit every 27 hours
The month isn’t even over yet pic.twitter.com/u7FGozR3Fu
— jussy (@jussy_world) April 29, 2026
a16z kutatás: az AI 70%-os sikerrel mondja meg, hogy hogyan érdemes támadni
Az a16z crypto kutatói arra keresték a választ, hogy az AI tényleg végre tudna-e hajtani egy támadást. Ehhez 20 múltbeli Ethereum ár-manipulációs incidenst választottak ki, és Codex GPT 5.4-et tesztelték rajtuk.
Alapállapotban, domain-tudás nélkül, a szerződéscím és az alap eszközök ismeretével az AI sikerességi rátája mindössze 10%-ot tett ki. Amikor azonban a kutatók strukturált domain-tudást adtak az agentnek, tehát az AI ismerte a valós támadási eseményekből származó sebezhetőségi okok, a lehetséges támadási útvonalak és a mechanizmus-osztályozások széles skáláját, a sikerességi ráta 70%-ra ugrott.
Fontos, hogy ez nem azt jelenti, hogy akkor most már létezik egy félelmetes, korlátok nélküli AI-szuperhacker. Minden sikertelen esetben az AI pontosan azonosította a sérülékenységet, de nem tudta megépíteni a nyereséges exploitot, tehát például nem sikerült összeraknia a komplex, többlépéses támadásokat, ezek továbbra is korlátot jelentenek.
A lényeg mégis az, hogy a sebezhetőség-felderítés automatizálható, és ha a strukturált támadási tudásbázisok, amelyek ma már könnyen hozzáférhetők, és bekerülnek az agent-eszközök mellé, a sebesség drasztikusan nőhet. A támadások után komoly vizsgálat folyik, sokszor több is, és pontosan meghatározzák, hogy hol volt a sebezhetőség, és hogyan lehetett kihasználni. Így ezeket kijavítva el lehet kerülni, hogy a protokoll a jövőben ismét áldozattá váljon. De ennek van egy hatalmas hátulütője.
Ezzel megszületik egy nyilvános adatbázis, amely minden sikeres támadás részleteit tartalmazza, és ha ezt egy speciális AI megkapja, akkor neki már nem kell lehetséges támadási felületet keresnie, egyszerűen csak megnézni, hogy az ismert gyenge pontok megvannak-e egy adott protokoll esetében, vagy sem. Ha igen, akkor máris tudhatja, hogy hol és hogyan érdemes támadnia. Mert az egy dolog, hogy egy megtámadott protokoll kijavítja az ismert biztonsági rést. De ugyanaz a rés száz és ezer más protokoll esetében is jelen lehet.
James Seyffart, a Bloomberg ETF-elemzője is arra figyelmeztette a közönséget, hogy ezek a protokoll-hibák nagy kockázatot jelentenek.
A védekezési probléma: egyetlen audit már nem elég
Egyetlen reggelen három különböző réteget értek el a támadók, a határidős kötéseket, a bridge architektúrát és ha bebizonyosodik, hogy a Sweat esetében támadás történt, akkor a kulcskezelési gyengeséget is felvehetjük a listára. Más esetekben orákulum-manipuláció, harmadik felek integrált eszközei, vagy éppen cross-chain komponensek játszottak szerepet. A lényeg az, hogy a hibát nem az okozta, hogy rossz az okosszerződés.
És ezzel eljutottunk arra a pontra, hogy a “majd auditáljuk az okosszerződést” hozzáállás semmit sem ér (vagy csak nagyon keveset), mert a valódi támadási felület ma a teljes infrastruktúrában szóródik szét. Hiába ellenőrzünk egyetlen egy kódot, a szerződését, ha az rendben van, a rendszer még további 5-10-20 kódkészlettel dolgozik, mert minden eleme össze van kapcsolódva a többivel.
Ráadásul, ha a támadók egyre gyorsabbak, és az AI ezt még tovább gyorsítja, akkor a védelemnek is minden szinten fejlődnie kell. Az áprilisi veszteséglista azt mutatja, hogy a két oldal még mindig nincs egyensúlyban.
Olvastad már? Az on-chain pénzügy fordulóponthoz ért
Kriptopiaci kutató, a Kriptoworld.hu külsős szerzője
Tűz. Kerék. Gőzgép. Bitcoin.
📅 Megjelenés: 2026. május 2. • 🕓 Utolsó frissítés: 2026. május 2.
✉️ Kapcsolat: [email protected]
Tájékoztatás: A kriptoworld.hu oldalon található információk és elemzések a szerzők magánvéleményét tükrözik. A jelen oldalon megjelenő írások, cikkek nem valósítanak meg a 2007. évi CXXXVIII. törvény (Bszt.) 4. § (2). bek 8. pontja szerinti befektetési elemzést és a 9. pont szerinti befektetési tanácsadást.
Bármely befektetési döntés meghozatala során az adott befektetés megfelelőségét csak az adott befektető személyére szabott vizsgálattal lehet megállapítani, melyre a jelen oldal nem vállalkozik és nem is alkalmas. Az egyes befektetési döntések előtt éppen ezért tájékozódjon részletesen és több forrásból, szükség esetén konzultáljon befektetési tanácsadóval!
A cikkekben megjelenő esetleges hibákért téves információkból eredendő anyagi károkért a kriptoworld.hu felelősséget nem vállal.