2026 рік квітень, сфера DeFi зазнала найсерйознішої за останні роки кризи довіри. За даними таких організацій, як CertiK, у цьому місяці через хакерські атаки, використання вразливостей та інші інциденти було завдано збитків безпеці на суму приблизно 6,34-6,51 мільярда доларів США, що більш ніж у десять разів перевищує сплеск у 59,5 мільйона доларів у березні, встановивши новий рекорд за найбільші щомісячні збитки з березня 2022 року. Ще більш насторожує те, що у цьому місяці сталося 31 окреме випадок атаки, майже щодня — без урахування суми збитків або частоти атак — це оновлює історичні рекорди DeFi.

Дві головні масштабні справи, що опинилися в центрі цієї бурі — KelpDAO і Drift Protocol — разом забрали понад 90% вкрадених активів за місяць. KelpDAO через вразливість у механізмі перевірки на міжланцюговому мосту був використаний зловмисником, який обійшов механізми безпеки і створив штучно токени rsETH на суму 292 мільйони доларів, а потім заставив ці токени у позики на платформах, таких як Aave, отримуючи реальний Ethereum. Це не лише поставило під загрозу майже 200 мільйонів доларів потенційних боргів для Aave, а й протягом 24 годин спричинило виведення понад 8 мільярдів доларів з платформи, що знизило загальну вартість заблокованих активів (TVL) приблизно на 32%. Наступна подія з Drift Protocol також була шокуючою: зловмисник, який протягом шести місяців проник у систему, зрештою викрав ключ адміністратора і перевів активи на суму близько 285 мільйонів доларів. Обидві справи були пов’язані з групою Lazarus, що має північнокорейське походження, і їх поведінка у блокчейні була дуже схожою у цій серії атак.
Ця хвиля кризи безпеки не є випадковою, а є наслідком тривалого розвитку DeFi за моделлю «пріоритет ефективності», що призвело до концентрованого вибуху проблем. Вона відкрила три рівні системних ризиків: по-перше, уразливість механізму перевірки у міжланцюгових мостах, де архітектура з одним валідатором тримає мільйонні суми на одному приватному ключі, що вже було попереджено у випадку з мостом Ronin у 2022 році, але ця проблема ігнорувалася галуззю; по-друге, соціальна інженерія та довгострокові приховані атаки стають новими головними загрозами, оскільки методи атак змінилися з простих вразливостей у коді на комплексне проникнення через людські права та процеси; по-третє, здатність DeFi до комбінації посилює як доходи, так і ризики — вразливість одного протоколу може швидко перетворитися на ланцюгова реакція кількох протоколів.
Реакція ринку також була дуже сильною. За короткий час з ринку було виведено близько 13 мільярдів доларів TVL, депозити в Aave знизилися на 38%, а токен AAVE впав на 15-21%. Гроші переорієнтувалися з високоризикових протоколів у більш зрілі платформи позик або централізовані сховища. Глибший вплив — це зниження довіри з боку інституцій: JPMorgan чітко зазначив, що постійні проблеми безпеки та застій у зростанні TVL суттєво знижують привабливість DeFi для інституційних інвесторів. Водночас, Standard Chartered, хоча й підтримує довгострокові перспективи ринку RWA, визнає необхідність структурних оновлень у міжланцюгових ризиках.