دفیللاما: سه‌ماههٔ دوم ۲۰۲۶ با نزدیک به ۷۰ سوءاستفاده، رکورددارِ بیشترین هک در تاریخ کریپتو بوده است

رکوردی که با ضربه‌های کوچکِ فراوان ساخته شد

سه‌ماهه دوم سال ۲۰۲۶ از همین حالا هک‌شده‌ترین فصلِ ثبت‌شده است؛ با حدود ۷۰ هک که تقریباً دو برابر رکورد پیشینِ تعداد رخدادها در یک فصل است. با این حال، مجموع رقم سرقت‌شده—حدود ۷۴۶ میلیون دلار—در قیاس با اوج‌های سال‌های اخیر تنها بخشی از آن است. در این باره، تحلیلگران دفی‌لاما اشاره کردند:

«به‌جای چند سوءاستفاده غول‌آسا، شاهد جریانی پیوسته از حملات کوچک‌تر بوده‌ایم.»

این الگو نشان‌دهنده فاصله گرفتن از سرقت‌های عظیمی است که سال‌های گذشته را تعریف می‌کردند؛ زمانی که چند سوءاستفاده ۹ رقمی از پل‌ها و پروتکل‌ها، مجموع سالانه را بالا می‌برد. به نظر می‌رسد مهاجمان تلاش خود را میان هدف‌های متعدد با ارزش پایین‌تر پخش می‌کنند، به‌جای آن‌که به دنبال یک شکار بزرگِ تیترساز باشند (راهبردی که ردیابی و دفاع در برابر آن برای صنعت دشوارتر است).

آسیب این فصل در ابتدای آن متمرکز بود؛ به‌طوری‌که آوریل به‌عنوان هک‌شده‌ترین ماهِ ثبت‌شده در تاریخ رمزارزها تأیید شد؛ با حدود ۳۰ رخداد و بیش از ۶۲۵ میلیون دلار سرقت. دو رخنه اصلی غالب بودند؛ یعنی زیان ۲۸۵ میلیون دلاری Drift Protocol در ۱ آوریل و هک ۲۹۳ میلیون دلاری KelpDAO در ۱۸ آوریل (که مجموعاً حدود ۹۳٪ خروجی‌های آوریل را تشکیل می‌داد). بیش از دو دوجین رخداد باقی‌مانده عمدتاً کمتر از ۵ میلیون دلار بودند و بسیاری حتی زیر ۱ میلیون دلار.

شتاب ماهانه در ماه مه هم بالا ماند؛ به‌طوری‌که در طول ماه حدود ۱۴ پروتکل امور مالی غیرمتمرکز (DeFi) هدف قرار گرفتند که از میان آن‌ها حدود هشت مورد مرتبط با پل‌ها بودند و زیان تجمیعی آن‌ها نزدیک به ۲۸ میلیون دلار بود. تا پایان ماه مه، زیان تجمیعی دیفای در سال ۲۰۲۶ از ۸۴۰ میلیون دلار در بیش از ۵۰ رخداد طی پنج ماه عبور کرده بود؛ در مقایسه با حدود ۳۰ رخداد در همین بازه در ۲۰۲۵—افزایشی حدود ۷۰٪ سال‌به‌سال در فراوانی.

تمرکز بر پل‌ها و کلیدهای سرقت‌شده

نفوذهای تکراری به دو نقطه ضعف پرتکرار اشاره داشت. پل‌های بین‌زنجیره‌ای که دارایی‌ها را روی یک شبکه قفل و معادل آن را روی شبکه‌ای دیگر ضرب می‌کنند، همچنان هدف محبوبی بودند، زیرا یک نقص واحد می‌تواند وجوه تجمیع‌شده را در معرض خطر قرار دهد. به همین ترتیب، تحلیلگران امنیتی از چرخشی گسترده‌تر از سوءاستفاده‌های کُدی به سمت سرقت کلید خبر دادند؛ زیرا مهاجمان بیش از پیش از مهندسی اجتماعی و فیشینگ برای به‌دست آوردن کلیدهای خصوصی استفاده می‌کنند، نه شکارِ باگ‌های قرارداد هوشمند.

این تحول در بازه‌ای بلندمدت هم قابل مشاهده بوده است؛ با توجه به این‌که هک‌های رمزارزی در دهه گذشته از ۱۷ میلیارد دلار عبور کرده‌اند و سطح حمله به‌تدریج از کُد پروتکل به سمت انسان‌ها و سامانه‌های عملیاتی پیرامون آن حرکت کرده است. سه‌ماهه اول ۲۰۲۶ از پیش یک خط مبنای تلخ ثبت کرده بود؛ با حدود ۱۶۹ میلیون دلار سرقت در ۳۴ پروتکل.

با این‌که فصل هنوز تمام نشده، رقم نهایی می‌تواند بیشتر هم شود. حسابرسان هشدار می‌دهند این بخش در آستانه ثبت نزدیک به یک حمله در روز قرار دارد و چکیدن پیوسته سوءاستفاده‌های میان‌مقیاس، فشار را بر پل‌ها، مدیریت کلید و واکنش به رخداد افزایش می‌دهد.

داده‌ها یک کورسوی امید هم نشان می‌دهند: میانگین زیان‌های کوچک‌تر حاکی از بخش‌بندی بهتر وجوه است، حتی در حالی که تعدادِ بالای حملات موفق به رکورد می‌رسد. این‌که آیا پروتکل‌ها می‌توانند آهنگ رخدادها را کند کنند—و نه فقط سقف خسارت را محدود—بقیه سال ۲۰۲۶ را تعیین خواهد کرد.