Pragul psihologic a fost depășit la sfârșitul lunii aprilie. Hackerii cripto au sustras 1,08 miliarde de dolari din ecosistemul blockchain în doar 68 de incidente confirmate de la începutul anului 2026, conform datelor centralizate de publicația americană Protos.
Trei furturi mari concentrează majoritatea pierderilor și două dintre ele s-au produs în această primăvară, ceea ce face din 2026 unul dintre cei mai duri ani pentru securitatea cripto din ultima jumătate de deceniu.
Aprilie a forțat o reașezare a discuției despre apărarea ecosistemului. Au fost raportate 30 de atacuri în 30 de zile, o medie care ar fi părut absurdă cu un an în urmă. Săptămâna încheiată recent a adus singură 13 furturi documentate, trei dintre ele într-o singură zi.
Sumele individuale au fost mai modeste, dar cumulate au depășit 11 milioane de dolari. Pentru analiștii care urmăresc lanțurile blockchain, monitorizarea s-a transformat într-o cursă continuă în care orice pauză de câteva ore poate ascunde un atac în curs.
Aprilie, luna care a schimbat regulile securității cripto
Frecvența incidentelor a depășit predicțiile celor mai prudenți observatori. Un comentariu viral pe X a sintetizat starea de fapt mai precis decât orice raport tehnic. Pe Ethereum, în ultima săptămână, s-a produs câte un atac de șase cifre aproape la fiecare șase ore. Cadența nu mai descrie un val izolat. Descrie o stare cronică alimentată de un ecosistem prea fragmentat ca să permită o apărare unitară.
Faptul că Protos a fost nevoită să lanseze un instrument dedicat de monitorizare a atacurilor, cu prag minim de 100.000 de dolari pe incident, ilustrează cât de greu a devenit să ții pasul fără infrastructură specializată. Munca s-a apropiat mai mult de cea de intelligence financiar decât de raportarea jurnalistică tradițională.
Echipele de securitate descriu o oboseală vizibilă. Un singur weekend liniștit poate masca mai multe atacuri în pregătire, iar semnele apar abia după execuție. Anticiparea contează acum mai mult decât reacția. Capacitatea de a citi corect mișcările suspecte de pe lanț s-a transformat într-un avantaj competitiv real, nu într-o simplă aptitudine tehnică.
Drift Protocol și Kelp DAO, lovituri care au zguduit întregul DeFi
Cele mai mari două furturi din aprilie nu seamănă cu nimic din ce a fost considerat clasic în ultimii ani. Niciunul dintre ele nu a venit dintr-o vulnerabilitate directă în codul protocoalelor. Atacatorii au pătruns în zona de control administrativ, iar modul de operare sugerează un nivel de coordonare specific operațiunilor profesioniste, posibil cu sprijin statal.
Drift Protocol și pierderile de 280 de milioane de dolari
Atacul asupra Drift Protocol a fost descris drept una dintre cele mai sofisticate operațiuni din istoria recentă a DeFi. Pregătirea s-a întins pe parcursul mai multor săptămâni. Sustragerea efectivă a durat câteva minute. Atacatorii au accesat infrastructura privilegiată a echipei și au transferat fondurile într-un ritm care a făcut imposibilă orice contrareacție.
Cazul Drift e relevant tocmai fiindcă platforma fusese auditată de mai multe firme și considerată solidă. Vulnerabilitatea reală a venit dintr-o zonă neglijată până nu demult, anume conturile interne ale dezvoltatorilor și operatorilor. Investigațiile post-incident au arătat că accesul a fost obținut printr-o combinație de phishing țintit și mișcări laterale prin infrastructura companiei. Tipar tipic pentru grupările specializate în furturi mari.
Reacția pieței a fost imediată. Tokenul Drift s-a prăbușit, iar încrederea în întreaga categorie a platformelor de tranzacționare descentralizată s-a clătinat. Mai multe protocoale au demarat, în zilele care au urmat, audituri interne ale propriilor sisteme de gestionare a cheilor.
Vulnerabilitatea expusă în cazul Drift este comună mai multor proiecte care au crescut rapid fără să-și consolideze partea de securitate operațională.
Kelp DAO și consecințele unui furt de 290 de milioane de dolari
Cealaltă lovitură semnificativă a vizat Kelp DAO și a generat o undă de șoc resimțită până în piețele de creditare. Pierderea de aproximativ 290 de milioane de dolari, asociată cu tokenul rsETH, a declanșat o cădere mai amplă în sectorul DeFi, estimată la peste 14 miliarde de dolari prin efectul de domino. Aave, unul dintre cele mai mari protocoale de creditare, a resimțit direct presiunea, fiindcă active legate de rsETH erau folosite ca garanție în numeroase poziții deschise.
Episodul Kelp a forțat o discuție profundă despre riscurile interconectate din DeFi. Când un singur token derivat poate fi compromis, efectele se propagă rapid către toate protocoalele care l-au integrat, indiferent cât de sigure ar fi acestea separat. Mai multe echipe au revenit la planșetă pentru a-și revizui strategiile de listare a colateralului. Discuția despre limite de expunere a căpătat o urgență pe care nu o avea în iarnă.
Pentru utilizatorii Aave, evenimentul a fost o reamintire brutală că o lichidare în cascadă se poate materializa în câteva minute, fără timp de reacție. Episodul Kelp a schimbat și percepția asupra activelor de restaking lichid. Promisiunea unui randament suplimentar peste cel oferit de staking-ul clasic vine, după cum s-a văzut, cu un strat de risc operațional capabil să devasteze poziții întregi în condiții nefavorabile.
Firmele de securitate, depășite de ritmul atacurilor
Un fenomen colateral, dar la fel de îngrijorător, este dificultatea cu care firmele specializate în audit și monitorizare reușesc să acopere terenul. Săptămâna aceasta, mai multe echipe au criticat public PeckShield pentru ceea ce au numit alerte „neglijente”, în care produsele lor erau asociate, indirect, cu pierderi cauzate de contracte terțe insecure.
Voci din proiecte ca Alchemix, Trading Strategy și Yearn Finance au reacționat ferm, considerând că astfel de notificări produc mai multă confuzie decât claritate.
Discuția nu este nouă. Firmele de securitate trăiesc, în mare parte, din vizibilitatea pe care o obțin prin dezvăluirea atacurilor. Există o tentație permanentă de a fi primii care anunță un incident, chiar și cu prețul unor inexactități. Pentru proiectele afectate, graba se traduce uneori în asocieri nedrepte și panică inutilă printre utilizatori.
Un alt episod din ultimele zile a confirmat că nici experții nu sunt feriți. Managerul de dezvoltare al firmei de audit CertiK a anunțat public că propriul cont de Telegram a fost compromis și folosit pentru a distribui malware prin linkuri false către presupuse întâlniri de afaceri.
Reputația CertiK a fost pusă sub semnul întrebării de mai multe ori în ultimii ani, însă cazul actual arată că tehnicile de phishing au evoluat suficient cât să păcălească inclusiv profesioniști obișnuiți să le recunoască.
Lecția e incomodă pentru întreaga industrie. Dacă persoanele care lucrează zilnic în securitate cad victime unor capcane bine construite, șansele unui utilizator obișnuit de a evita astfel de scheme scad dramatic.
Educația continuă în zona anti-phishing devine o condiție de operare, nu un beneficiu opțional. Simulările interne de capcane câștigă teren în rutina marilor proiecte, iar protocoalele stricte de verificare aplicate fiecărei tranzacții sensibile sunt promovate de la bună practică la cerință obligatorie.
Inteligența artificială, instrument folosit de ambele tabere
Una dintre explicațiile cele mai discutate pentru creșterea aparentă a numărului de atacuri este avansul rapid al instrumentelor bazate pe inteligență artificială. AI-ul e folosit acum atât de atacatori, cât și de echipele defensive, ceea ce schimbă dinamica jocului.
Pe partea ofensivă, modelele AI permit analiza automată a contractelor inteligente vechi. Multe sunt uitate sau slab întreținute. Un proiect lansat cu ani în urmă, rămas online dintr-o simplă inerție, poate deveni peste noapte ținta unui atac scriptat. Au existat campanii recente de exploatare în serie, atribuite unor sisteme automate care identifică și exploatează rapid contracte cu defecte minore. Suma furată per incident e, de obicei, modestă. Numărul mare de victime face ca totalul să devină semnificativ.
Pe partea defensivă, aceleași tehnologii ajută cercetătorii să filtreze zgomotul de pe blockchain. Volumul tranzacțiilor este uriaș, iar identificarea unor mișcări suspecte fără asistență AI a devenit aproape imposibilă. Capacitatea sporită de monitorizare ridică o întrebare legitimă, anume dacă numărul atacurilor a crescut cu adevărat sau dacă pur și simplu vedem mai mult din ce se întâmpla deja, sub radar, în trecut.
Răspunsul conține, cel mai probabil, ambele elemente. Atacurile sunt mai numeroase fiindcă barierele de intrare au scăzut. Vizibilitatea lor e mai mare fiindcă instrumentele de detecție au devenit mai performante. Rezultatul net este un sentiment de asediu permanent, alimentat și de viteza cu care informațiile circulă pe rețelele sociale ale industriei.
Cifrele care arată cât de profundă este vulnerabilitatea DeFi
Pentru a înțelege amploarea reală a fenomenului, ajută o privire spre datele agregate din ultimii cinci ani. O analiză publicată recent de Pigi Finance estimează că aproximativ 3,37% din activele DeFi se pierd anual prin exploit-uri la nivel de protocol.
Cifra exclude alte categorii de pierderi, precum furturile de la bridge-uri sau prăbușirile exchange-urilor centralizate. Nu include nici drenările de portofele individuale și nici pierderile cauzate prin phishing. Se concentrează exclusiv pe riscul de protocol pur.
Dacă raportăm procentul la valoarea totală blocată în DeFi, vorbim despre miliarde de dolari pierdute anual doar din cauza unor defecte tehnice. Pentru un investitor obișnuit, asta înseamnă că, statistic, un capital plasat fără verificări temeinice are o probabilitate semnificativă de a se evapora într-un orizont de câțiva ani. Riscul nu e uniform distribuit. Protocoalele consacrate, cu echipe mature și audituri repetate, prezintă un profil mult mai favorabil decât proiectele tinere și aglomerate.
Datele oferite de Mitchell Amador, fondatorul ImmuneFi, arată o evoluție interesantă. Numărul total al pierderilor cauzate de defecte de cod a scăzut considerabil față de vârful din 2022. Pierderea medie pe incident s-a redus și ea. Securitatea protocoalelor s-a îmbunătățit dramatic, iar standardele de audit au crescut, mai ales la proiectele care administrează sume mari.
Îmbunătățirea nu trebuie confundată însă cu siguranța absolută. Atacatorii pur și simplu și-au mutat atenția către alte vulnerabilități, mai puțin tehnice și mai mult umane. Datele de la ImmuneFi confirmă o realitate paradoxală. Maturizarea industriei coincide cu o creștere a complexității atacurilor, nu neapărat a frecvenței lor.
Cele mai mari furturi recente confirmă o transformare profundă a modului de operare. Drift și Kelp nu au fost compromise printr-o eroare de cod, ci printr-o pătrundere în infrastructura administrativă. Tipul acesta de atac presupune o pregătire îndelungată, de obicei luni de zile, în care atacatorii studiază ținta, identifică persoanele cu acces privilegiat și construiesc capcane personalizate.
Ingineria socială și spear-phishing-ul au devenit principalele instrumente ale grupărilor specializate în furturi mari. Există indicii consistente că unele dintre operațiuni sunt coordonate de actori statali, în special grupul Lazarus din Coreea de Nord. Acesta folosește bridge-uri precum LayerZero pentru a spăla fondurile sustrase. Tehnicile lor variază considerabil. Pornesc de la false oferte de muncă pentru dezvoltatori și ajung la întâlniri orchestrate pe platforme aparent legitime sau la compromiterea progresivă a unor angajați-cheie din proiectele țintă, prin săptămâni de conversații aparent normale.
Odată ce un singur cont privilegiat este compromis, atacatorul are timp să-și planifice mișcarea finală fără grabă. A fost, de altfel, motivul pentru care atacul asupra Drift a putut fi executat în câteva minute, după săptămâni de pregătire silențioasă. Pentru echipele tehnice, tiparul e mult mai greu de combătut decât o vulnerabilitate clasică, fiindcă atinge zona umană a securității, mai puțin previzibilă și mai dificil de auditat.
Răspunsul natural al industriei a fost o accelerare a investițiilor în formare anti-phishing. Mecanismele de tip multi-signature pentru orice tranzacție administrativă au devenit standard. Numărul de persoane care dețin chei sensibile este redus deliberat, iar accesul fizic la stațiile de lucru cu privilegii ridicate este separat strict. Niciuna dintre măsuri nu e nouă, dar abia acum capătă caracterul de obligație, pe măsură ce costul ignorării lor devine vizibil în pierderi reale.
Ce trebuie să înțeleagă investitorii și utilizatorii obișnuiți
Pentru cineva care nu lucrează direct în industrie, cifrele pot părea abstracte sau distante. Realitatea este că riscurile se transmit, mai devreme sau mai târziu, către utilizatorul final. O cădere de 14 miliarde de dolari în DeFi, declanșată de un singur incident, afectează prețurile activelor, lichiditatea protocoalelor și, implicit, randamentele celor care își țin economiile în acest ecosistem.
Diversificarea rămâne una dintre cele mai bune protecții. Plasarea unor sume mari într-un singur protocol, indiferent cât de auditat ar fi, este o strategie tot mai greu de justificat. Verificarea istoricului de securitate al unui proiect este un pas pe care din ce în ce mai puțini investitori își permit să-l ignore.
Monitorizarea reacțiilor echipei la incidente anterioare oferă semnale despre cultura organizațională. Înțelegerea modelului de guvernanță arată cine controlează, în realitate, deciziile critice. Cine sare peste această diligență își asumă, în fapt, un risc mult mai mare decât pare la prima impresie.
E util să recunoaștem că nicio strategie nu oferă siguranță deplină într-un domeniu care evoluează atât de rapid. Atacatorii inovează permanent, iar o decizie considerată sigură astăzi poate deveni vulnerabilă peste câteva luni. Singura constantă pe care o pot oferi piețele cripto este nesiguranța, iar gestionarea ei ține mai mult de disciplină decât de noroc.
Pentru utilizatorii care interacționează zilnic cu aplicații DeFi, igiena digitală a devenit la fel de importantă ca selecția protocoalelor. Folosirea unui portofel hardware nu mai este o simplă recomandare avansată, ci o condiție de bază.
Linkurile primite prin canale neoficiale trebuie tratate, implicit, ca suspecte. Verificarea adresei de contract înaintea oricărei aprobări este un gest care durează câteva secunde și poate salva ani de economisire. Separarea conturilor de testare de cele cu fonduri reale rămâne, în continuare, una dintre cele mai eficiente măsuri de limitare a pagubelor.
Un peisaj de securitate care redefinește regulile pieței cripto
Industria cripto a trecut, în ultimii cinci ani, prin mai multe valuri succesive de atacuri. Fiecare a avut propriile particularități. Era exploit-urilor brute, în care un bug elementar într-un contract putea drena milioane, pare să se apropie de final. În locul ei se conturează o eră a atacurilor sofisticate, hibride, în care componenta umană contează la fel de mult ca cea tehnică.
Schimbarea are consecințe importante pentru modul în care sunt construite protocoalele. Echipele care își propun să dureze pe termen lung trebuie să investească masiv nu doar în audit de cod. Securitatea operațională câștigă același rang ca auditul tehnic în prioritățile echipelor mature.
Formarea personalului devine permanentă și măsurabilă, iar separarea privilegiilor și rotația accesului intră, treptat, în arhitectura standard a oricărui proiect serios. Un singur cont compromis poate șterge ani de muncă, iar costul unei astfel de erori depășește, adesea, valoarea contractului auditat.
Pentru regulatori, situația ridică întrebări delicate. Dorința de a proteja utilizatorii este legitimă, dar intervenția prea apăsată riscă să sufoce inovația și să mute activitatea către jurisdicții mai puțin transparente. Echilibrul nu se găsește ușor, iar discuțiile recente din Statele Unite, Uniunea Europeană și Asia arată că răspunsurile diferă semnificativ de la o regiune la alta.
Există un consens emergent privind necesitatea unor standarde minime de securitate operațională pentru orice proiect care administrează fonduri ale utilizatorilor peste un anumit prag. Un astfel de cadru ar putea reduce numărul atacurilor reușite fără a împovăra inutil proiectele mici, care reprezintă, în fapt, motorul de inovație al industriei.
Cum răspunde comunitatea cripto presiunii constante a atacurilor?
Reacția comunității la valul actual de incidente are mai multe direcții. Unele proiecte au accelerat lansarea programelor de bug bounty, care oferă recompense semnificative cercetătorilor care raportează vulnerabilități înainte ca acestea să fie exploatate. Altele au intensificat colaborarea cu firme de securitate specializate, externalizând monitorizarea continuă a infrastructurii lor.
Fondurile de asigurare descentralizate au cunoscut o creștere notabilă a interesului. Acoperirile lor rămân limitate și costisitoare, dar oferă cel puțin o plasă de siguranță parțială pentru utilizatorii cei mai expuși. Există voci care susțin că, fără un mecanism robust de asigurare, DeFi nu poate atinge niciodată maturitatea instituțională la care aspiră.
În paralel, se observă o consolidare a bunelor practici de comunicare după incident. Proiectele care reacționează rapid, transparent și cu un plan clar de despăgubire își păstrează, de regulă, comunitatea. Cele care încearcă să minimalizeze sau să ascundă pagubele își pierd capitalul împreună cu încrederea utilizatorilor, ceea ce, în acest sector, echivalează cu sentința la moarte.
Comunitatea cripto are o memorie surprinzător de lungă atunci când vine vorba despre modul în care sunt tratați utilizatorii afectați.
Anul 2026 nu se va încheia, probabil, fără alte momente dificile. Tendința actuală sugerează că pierderile totale ar putea depăși semnificativ pragul de două miliarde de dolari până la final de an, mai ales dacă atacatorii continuă să găsească ținte printre proiectele cu lichiditate mare și securitate operațională slabă. Fiecare incident major rescrie manualul de bune practici, iar industria învață, de fiecare dată, pe pielea proprie.
Devine tot mai clar că securitatea nu mai poate fi privită ca un capitol separat al construcției unui protocol. Trebuie integrată în fiecare etapă, de la design și până la operațiunile zilnice, iar cultura organizațională trebuie să o asume ca prioritate constantă. Doar așa industria poate spera să transforme aceste cifre îngrijorătoare într-o lecție utilă, nu într-un epitaf pentru un sector care promitea să rescrie regulile finanței globale.
Intrebari Frecvente(FAQ)
Hackerii au sustras 1,08 miliarde de dolari din ecosistemul cripto între ianuarie și sfârșitul lunii aprilie 2026, în 68 de incidente confirmate, conform datelor centralizate de publicația americană Protos. Doar în luna aprilie au fost raportate 30 de atacuri, o medie de peste un incident pe zi.
Cele mai mari două atacuri cripto din 2026 au vizat Drift Protocol, cu pierderi de 280 milioane de dolari, și Kelp DAO, cu pierderi de aproximativ 290 milioane de dolari. Ambele s-au produs în luna aprilie 2026 și împreună reprezintă majoritatea pagubelor totale înregistrate de la începutul anului.
Niciunul dintre cele două atacuri nu a exploatat o vulnerabilitate de cod. Atacatorii au pătruns în infrastructura administrativă a echipelor, printr-o combinație de phishing țintit și mișcări laterale prin sistemele interne. Pregătirea s-a întins pe săptămâni, iar execuția efectivă a durat doar câteva minute, ceea ce a făcut imposibilă orice contrareacție.
Conform unei analize publicate de Pigi Finance, aproximativ 3,37% din activele DeFi se pierd anual prin exploit-uri la nivel de protocol. Cifra exclude furturile de la bridge-uri, prăbușirile exchange-urilor centralizate, drenările de portofele individuale și pierderile cauzate prin phishing. Se concentrează exclusiv pe riscul de protocol pur.
În aprilie 2026 au fost raportate 30 de atacuri cripto, o medie de peste un incident pe zi. Într-o singură săptămână de la finalul lunii s-au produs 13 furturi documentate, trei dintre ele într-o singură zi. Pe Ethereum a avut loc câte un atac de șase cifre aproape la fiecare șase ore în acea perioadă.
Instrumentele de inteligență artificială sunt folosite atât de atacatori, pentru a identifica automat vulnerabilități în contracte vechi sau abandonate, cât și de echipele defensive, pentru monitorizarea tranzacțiilor suspecte. Atacurile scriptate vizează frecvent proiecte mai mici, în timp ce cercetătorii folosesc AI pentru a filtra zgomotul de pe blockchain și a identifica mișcările anormale.
Măsurile esențiale de protecție includ folosirea unui portofel hardware, evitarea linkurilor primite prin canale neoficiale, verificarea adresei de contract înainte de orice aprobare și separarea conturilor de testare de cele cu fonduri reale. Diversificarea expunerii pe mai multe protocoale verificate și monitorizarea istoricului de securitate al unui proiect rămân cele mai eficiente măsuri pentru investitori.
Grupul Lazarus din Coreea de Nord este suspectat de coordonarea unora dintre cele mai mari operațiuni de furt cripto recente. Acesta folosește bridge-uri precum LayerZero pentru a spăla fondurile sustrase. Tehnicile lor variază de la false oferte de muncă pentru dezvoltatori la întâlniri orchestrate pe platforme aparent legitime și compromiterea progresivă a unor angajați-cheie.
