Primele cinci luni ale anului 2026 au scris una dintre cele mai scumpe pagini din scurta istorie a finanțelor descentralizate. Peste 840 de milioane de dolari au dispărut din protocoale DeFi într-un interval în care calendarul abia trecuse de jumătatea primului semestru, iar aprilie, luat separat, a concentrat furturi de peste 600 de milioane. Nu mai vorbim despre accidente izolate, despre un protocol nefericit care a avut ghinion într-o dimineață proastă. Vorbim despre un tipar care se repetă cu o regularitate care a început să sperie până și veteranii industriei.
Senzația că ceva structural scârțâie nu este doar a publicului. Specialiștii în securitate cu care presa de profil a discutat în ultimele săptămâni cad de acord asupra unui diagnostic incomod: slăbiciunile nu mai țin atât de un bug ascuns într-o linie de cod, cât de felul în care sunt construite punțile dintre rețele, de modul în care sunt gestionate cheile administrative și, tot mai des, de oameni. La toate acestea se adaugă un accelerator nou, inteligența artificială, care scurtează drumul dintre curiozitatea unui atacator și o breșă reală.
Analizele realizate de redacția Cryptology.ro arată că valul de atacuri DeFi din 2026 nu reprezintă o anomalie trecătoare, ci o consecință directă a felului în care a fost proiectată infrastructura din ultimii ani. Acolo unde valoarea se adună în câteva contracte interconectate, atacatorii găsesc mereu o cale de a o atinge.
Anatomia unui an record de furturi
Pentru a înțelege amploarea fenomenului, e util să urmărim traseul banilor. Conform datelor centralizate de DefiLlama, cea mai mare lovitură a anului a vizat KelpDAO pe 18 aprilie, când atacatorii au scos dintr-o punte cross-chain aproximativ 116.500 de tokenuri rsETH, în valoare de circa 292 de milioane de dolari. A urmat, ca dimensiune, breșa de la Drift Protocol, soldată cu aproape 285 de milioane de dolari evaporați din seifurile platformei construite pe Solana.
Hemoragia nu s-a oprit odată cu aprilie. În mai, THORChain a suspendat tranzacțiile după ce cercetători în securitate au semnalat un atac suspectat de tip cross-chain care afecta peste 10 milioane de dolari. Lista victimelor s-a lungit apoi cu nume precum TrustedVolumes, Echo Protocol, Step Finance, Truebit, Resolv Labs, Volo Protocol, Rhea Finance sau puntea Verus-Ethereum. Citită una după alta, lista seamănă cu un test de rezistență aplicat fiecărei ipoteze de încredere pe care se sprijină ecosistemul.
Tabloul are însă și nuanțe care temperează panica. Natalie Newson, investigatoare senior pe blockchain la platforma de securitate Web3 CertiK, atrăgea atenția că aprilie a fost într-adevăr o lună neagră, cu doar trei zile în care nu s-a furat cel puțin echivalentul a 10.000 de dolari într-un singur incident. Privit la scară mai largă însă, numărul de incidente, excluzând tentativele de phishing, a rămas relativ constant și sub vârful atins în 2023. Severitatea lui aprilie a fost dată de un detaliu concentrat: paisprezece atacuri care au depășit fiecare un milion de dolari în pierderi, al doilea cel mai mare scor lunar după cele șaisprezece înregistrate în septembrie 2025.
Cu alte cuvinte, frecvența atacurilor nu a explodat. Ceea ce s-a schimbat este greutatea fiecărei lovituri reușite. Un atac bine pregătit nu mai pleacă cu câteva sute de mii de dolari, ci cu sute de milioane, fiindcă valoarea s-a concentrat în puncte tot mai sensibile ale arhitecturii.
Cum a ajuns Coreea de Nord motorul principal?
Dacă ar fi să numești un singur factor care a transformat peisajul, acela ar fi un actor statal care în cinci ani a urcat de la rolul de figurant la cel de amenințare definitorie. Ari Redbord, șeful global pe politici și afaceri guvernamentale la TRM Labs, a descris fenomenul fără ocolișuri: motorul dominant este Coreea de Nord, iar campania devine mai ascuțită, nu mai întinsă.
Cifrele susțin afirmația. Potrivit analizei TRM, grupările legate de Phenian au fost responsabile pentru 76% din valoarea totală a furturilor cripto din primele patru luni ale lui 2026, în creștere de la 64% în 2025 și de la mai puțin de 10% în 2020. Saltul nu vine din volumul atacurilor, ci din precizia lor. Redbord vorbește despre o combinație între tehnologie și inginerie socială sofisticată, planificată în detaliu, care precede orice atingere a codului.
Cazul KelpDAO ilustrează perfect această mutație. Conform raportului post-incident publicat de LayerZero, compania a cărei infrastructură de mesagerie susținea puntea afectată, atacul nu a început pe 18 aprilie, ci cu peste șase săptămâni mai devreme, pe 6 martie. Atunci, un dezvoltator a fost manipulat prin inginerie socială, iar cheile de sesiune au fost recoltate discret. Restul a fost doar răbdare. Mandiant, CrowdStrike și cercetători independenți au atribuit operațiunea unei grupări nord-coreene cunoscute sub numele de TraderTraitor, catalogată și ca UNC4899.
Motivul structural pentru care DeFi continuă să încaseze loviturile ține, în viziunea lui Redbord, de locul în care stau banii și de felul în care se mișcă. Complexitatea cross-chain creează un teren bogat în ținte, iar punțile produc constant cele mai mari pierderi dintr-un singur incident.
Modurile de eșec se repetă cu o consecvență izbitoare fiindcă problema de fond este arhitecturală, nu o scăpare punctuală.
Tiparele care se repetă
Dincolo de titlurile spectaculoase, atacurile recente împărtășesc câteva mecanisme comune. Raz Niv, cofondator și director tehnic la platforma de securitate on-chain Blockaid, a observat că aproape toate incidentele majore ale anului se reduc la câteva tipare tehnice care revin obsesiv. Unul ține de eșecul controlului de acces privilegiat.
Altul apare atunci când atacatorii reușesc o actualizare malițioasă de tip proxy și înlocuiesc contractele de implementare cu versiuni ce ascund o portiță. Al treilea exploatează golurile din verificarea mesajelor schimbate între rețele.
Firul roșu nu este, paradoxal, complexitatea în sine. Fiecare strat de abstractizare, fie că vorbim de proxy-uri, de roluri administrative sau de mesageria dintre rețele, introduce o nouă ipoteză de încredere. Iar atacatorii testează metodic, una câte una, fiecare dintre aceste ipoteze, până când una cedează.
Punțile, veriga care cedează prima
Punțile cross-chain au devenit, an după an, scena celor mai mari furturi. Logica este simplă și brutală: pentru a muta valoare dintr-o rețea în alta, o punte blochează active pe lanțul de origine și emite reprezentări echivalente pe lanțul de destinație. În acest mecanism de blocare și emitere se ascund cele mai costisitoare vulnerabilități.
Dacă verificarea care confirmă că activele chiar există pe partea de origine are o fisură, atacatorul poate emite tokenuri neacoperite și le poate transforma rapid în active reale.
Istoria recentă a DeFi este punctată de astfel de episoade. Atacul asupra punții Ronin, în 2022, rămâne cel mai mare din toate timpurile, cu aproximativ 625 de milioane de dolari scoși de grupări legate tot de Coreea de Nord, după compromiterea nodurilor validatoare.
Tot în 2022, puntea Wormhole dintre Solana și Ethereum a pierdut în jur de 326 de milioane, după ce atacatorii au exploatat o fisură în verificarea semnăturilor și au emis Ether neacoperit.
Tiparul de la 2026 nu este nou, ci o reluare la scară mai mare a unor lecții pe care industria pare să le uite ciclic. Pentru cine vrea să înțeleagă de ce arhitectura modulară și separarea straturilor au devenit subiecte la modă în lumea blockchain, merită urmărit modul în care proiecte precum blockchain-urile modulare de tip Celestia încearcă să rescrie chiar aceste ipoteze de încredere.
Cheile care deschid totul
A doua mare categorie de eșecuri vizează accesul privilegiat. Blockaid monitorizează evenimente anormale de tip acordare de rol și escaladări neautorizate de privilegii, exact genul de semnale care preced un dezastru. Incidentul de la Echo Protocol, de pildă, a fost urmărit până la chei administrative compromise sau prost configurate. Niv rezumă fără menajamente: atacatorii fie ajung la cheile private prin inginerie socială, fie exploatează praguri multisemnătură proiectate neglijent.
De aici se naște și paradoxul descentralizării. Multe protocoale, deși se prezintă ca sisteme fără autoritate centrală, păstrează în fundal chei administrative cu puteri aproape nelimitate. Cine controlează aceste chei controlează banii. Diferența față de finanțele tradiționale, unde custodia activelor pe platformele centralizate este reglementată și asigurată, este că în DeFi o singură cheie scursă poate goli un seif fără ca cineva să apese vreun buton de oprire.
Pentru o comparație utilă între modul în care păstrează fondurile platformele centralizate și logica protocoalelor descentralizate, am detaliat anterior rolul pe care îl joacă un exchange centralizat în ecosistemul cripto, inclusiv compromisurile de securitate pe care le presupune custodia centralizată.
Un al treilea ingredient frecvent este manipularea prețurilor prin oracole. Atunci când un protocol se bazează pe o sursă de preț ușor de influențat, un atacator poate umfla artificial valoarea unui activ fără valoare reală, îl poate folosi drept garanție și poate împrumuta active autentice pe care nu le va returna niciodată.
Exact acest mecanism a stat la baza atacului de la Drift, unde un token inventat a fost umflat prin tranzacții fabricate și listat ca garanție. Fiabilitatea oracolelor a devenit astfel o linie de apărare critică, iar proiecte care livrează date verificabile contractelor inteligente, precum cele descrise în materialul nostru despre viziunea din spatele rețelei Chainlink, au căpătat o relevanță pe care în urmă cu câțiva ani puțini o anticipau.
Inteligența artificială intră în ecuație
Peste toate aceste vulnerabilități vechi s-a suprapus un factor relativ nou. Raz Niv consideră că inteligența artificială transformă tot mai vizibil descoperirea vulnerabilităților, deși impactul ei este adesea înțeles greșit. Modelele actuale nu inventează atacuri nemaivăzute. Ele devin extrem de eficiente la identificarea vulnerabilităților cunoscute, la scară, automatizând practic munca pe care o fac auditorii pricepuți.
Pericolul real, spune el, nu este că inteligența artificială ar înlocui atacatorii umani. Pericolul este că îi amplifică. Preluând partea de recunoaștere și cartografiere a țintelor, AI eliberează atacatorii pentru a se concentra pe tehnicile cu adevărat sofisticate. Vestea bună, adaugă Niv, este că apărătorii pot folosi exact aceleași instrumente. Monitorizarea și simularea asistate de AI devin esențiale pentru echipele de securitate care vor să țină pasul.
Newson, de la CertiK, observă un fenomen complementar. Compania a remarcat o creștere a atacurilor asupra contractelor mai vechi și neverificate, ceea ce duce la o concluzie logică: instrumentele automate ajută la găsirea fisurilor în cod scris cu ani în urmă, cod pe care nimeni nu îl mai privește atent. Redbord merge pe aceeași linie, spunând că actorii rău intenționați desfășoară AI la scară pe recunoaștere, inginerie socială și proiectarea atacurilor, iar sofisticarea văzută la cazuri precum Drift pare consecventă cu fluxuri de lucru asistate de inteligență artificială.
Analiștii TRM cred că operatorii nord-coreeni integrează tot mai mult astfel de instrumente, iar răspunsul, în viziunea lor, este să desfășori AI pe apărare cu aceeași agresivitate cu care adversarii o folosesc pe atac.
Problema nu e în cod, ci în jurul lui
Aici ajungem la cea mai importantă mutație de perspectivă a anului. Redbord insistă că furturile DeFi reprezintă o problemă rezolvabilă, cu condiția ca industria să fie mai sinceră în privința locului unde se produc, de fapt, eșecurile. Un audit protejează împotriva bug-urilor din cod. Nu protejează însă împotriva unei campanii de inginerie socială bine orchestrate, cum a fost cea de la Drift, unde proxy nord-coreeni au petrecut luni întregi cultivând acces înainte de breșă.
Detaliile acelei operațiuni par desprinse dintr-un scenariu de film. Atacatorii s-au prezentat drept o firmă de tranzacționare cantitativă, au întâlnit contribuitori Drift în persoană, la conferințe organizate în mai multe jurisdicții, și au depus chiar peste un milion de dolari din capital propriu pentru a construi încredere. Răbdarea a fost arma principală.
Abia după ce relația a fost consolidată au obținut echivalentul în DeFi al unui cec semnat în alb din partea consiliului de securitate al protocolului, care deținea drepturile administrative asupra contractelor.
Modelul care funcționează, spune Redbord, este coordonarea în timp real între sectorul public și cel privat. Newson împărtășește ideea că 2026 ar putea reprezenta un punct de cotitură evolutiv, momentul în care industria învață că securitatea cibernetică este o problemă care cuprinde întregul lanț, de la inteligența artificială și amenințarea nord-coreeană până la infrastructură și personal. Formularea ei rezumă esența mutației: nu contează cât de perfectă este matematica ta on-chain dacă procesele umane off-chain rămân vulnerabile.
Această recunoaștere mută discuția de la teren tehnic la unul organizațional. Securitatea încetează să fie problema exclusivă a unei echipe de auditori și devine o responsabilitate distribuită, care atinge modul în care o companie își angajează oamenii, cum gestionează cheile, cum verifică partenerii și cum reacționează în primele minute ale unui incident.
Tema securizării datelor și a identității digitale, pe care am explorat-o pe larg în materialul despre felul în care blockchain-ul influențează sectorul financiar, capătă astfel o dimensiune practică, nu doar teoretică.
Prețul nevăzut: încrederea care se scurge
Pagubele financiare directe se pot măsura. Mai greu de cuantificat, dar la fel de real, este efectul asupra încrederii. Atacul de la Kelp DAO a declanșat un val de retrageri de 6,2 miliarde de dolari doar din Aave, înainte ca un efort de salvare condus de directorul executiv Stani Kulechov, botezat sugestiv DeFi United, să strângă aproximativ 132.650 ETH, echivalentul a circa 303 milioane de dolari, pentru a acoperi datoria nerecuperabilă.
Reacția coordonată demonstrează că industria se poate mobiliza rapid atunci când e cu spatele la zid. În același timp, arată cât capital este nevoie pentru a acoperi gaura lăsată de un singur atac asupra unei punți. Aproape trei sute de milioane de dolari adunați în câteva zile, doar pentru a readuce un protocol la linia de plutire, spun ceva despre fragilitatea sistemului mai mult decât orice raport tehnic.
Newson punctează un aspect adesea ignorat: efectele depind complet de cine este lovit. Pentru veteranii industriei, ultimele săptămâni intră în categoria lecțiilor dure, parte din normalul evolutiv al unui domeniu tânăr. Pentru participanții noi, care își pierd economii reale, povestea sună altfel. Pentru ei, pierderea nu este o experiență de învățare, ci ridică întrebări existențiale despre viabilitatea și siguranța pe termen lung a cripto. Iar reparațiile tehnice, atunci când vin, ajung adesea prea târziu pentru a șterge dauna emoțională și financiară deja produsă.
Această fractură de percepție întreține un cerc vicios. Atacurile mari sperie capitalul prudent, presează prețurile, alimentează scepticismul presei generaliste și îngreunează adopția. Pe acest fundal, confidențialitatea și protecția datelor au urcat brusc pe agenda industriei, după cum am detaliat în analiza despre cum a ajuns confidențialitatea digitală în prim-planul preocupărilor din cripto, semn că maturizarea sectorului trece inevitabil printr-o reevaluare a riscurilor pe care le-a tratat multă vreme cu superficialitate.
Ce ar trebui să rețină un investitor obișnuit?
Pentru cineva care nu citește postmortem-uri tehnice la micul dejun, lecția acestui an se lasă tradusă în câteva reflexe practice. Securitatea unui protocol nu se rezumă la sigla unei firme de audit afișată undeva pe site. Contează mult mai mult cine ține cheile administrative și cât de transparent sunt ele gestionate, cum reacționează echipa în fața unei tentative de inginerie socială și dacă există un mecanism de oprire de urgență pentru momentul în care lucrurile o iau razna.
Punțile cross-chain rămân, statistic, locul cel mai periculos pentru a-ți parca valoarea pe perioade lungi. Asta nu înseamnă că trebuie evitate complet, ci tratate cu prudența pe care o acorzi unui pod aglomerat, ridicat în grabă. Cel mai sănătos obicei este să nu-ți concentrezi tot portofoliul într-un singur protocol, ci să împrăștii expunerea, iar înainte de a confirma orice tranzacție, să verifici sursa oficială, fie că vine de pe contul echipei, fie din anunțul de pe site. Sunt gesturi mărunte care, uneori, salvează sume considerabile.
Mai presus de toate, anul 2026 confirmă o intuiție pe care comunitatea o ignoră periodic: cea mai vulnerabilă componentă a oricărui sistem rămâne omul. Atacatorii nord-coreeni nu au spart criptografia Ethereum. Au manipulat dezvoltatori, au cultivat relații, au răbdat luni de zile și au exploatat încrederea, nu codul. Atâta vreme cât această realitate este tratată ca o notă de subsol, iar nu ca centrul problemei, valul de furturi are toate șansele să continue și în lunile care vin.
Întrebări frecvente (FAQ)
În primele cinci luni ale anului 2026, protocoalele DeFi au pierdut peste 840 de milioane de dolari, dintre care peste 600 de milioane numai în luna aprilie. Cele mai mari două lovituri au fost atacul asupra KelpDAO, de circa 292 de milioane de dolari, și breșa de la Drift Protocol, de aproape 285 de milioane.
Vulnerabilitatea ține mai puțin de un bug izolat în cod și mai mult de arhitectură. Valoarea se concentrează în punți cross-chain și în chei administrative, iar fiecare strat suplimentar de complexitate introduce o nouă ipoteză de încredere pe care atacatorii o testează metodic. Tot mai des, breșa pornește de la oameni manipulați prin inginerie socială, nu de la criptografia spartă.
Cea mai mare parte a furturilor din 2026 este atribuită unor grupări legate de Coreea de Nord, responsabile pentru 76% din valoarea totală a hackurilor cripto din primele patru luni ale anului. Atacul asupra KelpDAO a fost atribuit grupării TraderTraitor, cunoscută și ca UNC4899.
AI nu inventează atacuri noi, dar le amplifică pe cele existente. Modelele actuale identifică rapid și la scară vulnerabilități cunoscute, mai ales în contracte vechi și neverificate, și preiau munca de recunoaștere, lăsând atacatorilor timp pentru tehnici mai sofisticate. Aceleași instrumente pot fi folosite însă și defensiv.
Cele mai utile reflexe sunt evitarea concentrării întregului portofoliu într-un singur protocol, prudența ridicată față de punțile cross-chain pe perioade lungi și verificarea sursei oficiale înainte de confirmarea oricărei tranzacții. Securitatea unui protocol depinde de cine deține cheile administrative și de cum reacționează echipa la tentativele de inginerie socială, nu doar de prezența unui audit.
