سوءاستفاده‌های پل‌های کریپتو در ماه می به ۳۲۸.۶ میلیون دلار رسید، در حالی که Peckshield ۸ حادثه بزرگ را ردیابی می‌کند

بدترین سال کریپتو برای هک‌های میان‌زنجیره‌ای

شرکت امنیت بلاک‌چین و تحلیل داده Peckshield در اواسط مه، شمارشی از هشت سوءاستفاده مرتبط با پل‌ها منتشر کرد که در مجموع تا اینجای سال ۳۲۸.۶ میلیون دلار را از پروتکل‌های میان‌زنجیره‌ای تخلیه کرده‌اند. این رقم به دوره‌ای اضافه می‌شود که به بدترین بازه ثبت‌شده برای امور مالی غیرمتمرکز (DeFi) تبدیل شده و هم‌زمان یک آسیب‌پذیری سیستماتیک را آشکار می‌کند که صنعت هنوز به‌طور کامل آن را حل نکرده است.

پل‌های میان‌زنجیره‌ای با قفل‌کردن توکن‌ها روی یک بلاک‌چین و ضرب دارایی‌های معادل روی بلاک‌چین دیگر کار می‌کنند و بدین ترتیب سطح‌های حمله‌ای با ارزش بالا ایجاد می‌کنند؛ جایی که بهره‌برداران تنها با به‌خطر انداختن سازوکار راستی‌آزمایی پل می‌توانند به نقدینگی تجمیع‌شده دسترسی پیدا کنند. این ریسک ساختاری در آوریل ۲۰۲۶ غیرقابل انکار شد، زیرا هک‌شده‌ترین ماه تاریخ کریپتو با ۳۰ رخداد جداگانه ثبت شد؛ آهنگی نزدیک به یک حمله در هر روز.

دو مورد از بزرگ‌ترین حملات در آن ماه با فاصله کوتاهی رخ داد. مسیر rsETH در Layerzero V2 مربوط به KelpDAO برای حدود ۳۰۰ میلیون دلار در ۱۸ آوریل مورد سوءاستفاده قرار گرفت؛ مهاجم ۱۱۶,۵۰۰ rsETH را از آداپتور OFT اتریوم خارج کرد، بدون آن‌که توکن‌ها را روی زنجیره مبدأ بسوزاند. بررسی Chainalysis نشان داد که Layerzero مقدار پیش‌فرض پایین «حد نصاب RPC ۱-۱» را تنظیم کرده بود؛ به این معنا که یک گره آلوده می‌توانست پیام‌های میان‌زنجیره‌ای جعلی را مجاز کند. KelpDAO سپس به استاندارد توکن میان‌زنجیره‌ای Chainlink مهاجرت کرد و به‌صورت عمومی Layerzero را بابت نقص زیرساختی مقصر دانست.

چند روز بعد، پروتکل Drift با سوءاستفاده‌ای بیش از ۲۰۰ میلیون دلار روی زیرساخت مبتنی بر سولانای خود مواجه شد. یک تحلیل‌گر CertiK اشاره کرد که این رخدادها بازتاب‌دهنده تغییر جهتی پرریسک در راهبرد جرایم سایبری میان‌زنجیره‌ای هستند؛ به‌گونه‌ای که مهاجمان در شناسایی و بهره‌برداری از ضعف‌های راستی‌آزمایی پل‌ها پیچیده‌تر عمل می‌کنند.

مرگ با هزار زخم

رخدادهای کوچک‌تر در ماه‌های قبل و حتی پس از آن نیز سرازیر شده‌اند؛ پل IoTeX در فوریه از طریق سوءاستفاده از کلید خصوصی برای حدود ۲ میلیون دلار هدف قرار گرفت. سپس، TAC Protocol در اوایل مه ۲.۸ میلیون دلار از دست داد؛ رخدادی که بعداً پس از آن‌که هکر مدعی دریافت جایزه ۱۰ درصدی شد، به‌عنوان یک حادثه وایت‌هت طبقه‌بندی شد.

Transit Finance، یک پروتکل تجمیع میان‌زنجیره‌ای، در ۱۳ مه به میزان ۱.۸۸ میلیون دلار تخلیه شد و جدیدترین مورد نیز مربوط به پل Verus-اتریوم است که حدود ۱۱.۵ میلیون دلار از دست داد؛ کیف پول مهاجم به یک seed مرتبط با Tornado Cash ردیابی شده است.

داده‌های Peckshield پیش‌تر نشان داده بود که زیان‌های کلی ناشی از هک تنها در دو ماه نخست ۲۰۲۶ به ۱۱۲.۵ میلیون دلار رسیده بود؛ پیش از آن‌که جهش آوریل زیان‌های تجمعی را تا اواسط آوریل از ۷۵۰ میلیون دلار فراتر ببرد. با اضافه‌شدن رخدادهای مه به این رقم، سال ۲۰۲۶ در مسیر آن است که رکوردهای پیشین زیان‌های DeFi را پشت سر بگذارد.