DeFi-hyökkäysten ennätyskvartaali: noin 70 murtoa ja 746 miljoonaa dollaria varastettu
- Vuoden 2026 toinen neljännes oli DeFi-historian eniten murtoja nähnyt lukumäärällä mitattuna.
- Noin 70 hyökkäystä ja 746 miljoonan dollarin tappiot, kaksinkertainen määrä edelliseen ennätykseen verrattuna.
- Suurimmat iskut käyttivät operatiivisia ja infrastruktuuriaukkoja, eivät koodivirheitä.
- Lukumäärä on uusi riski omia varojaan säilyttäville, vaikka dollarisummat ovat aiempaa pienempiä.
Murtojen lukumäärä kaksinkertaistui edellisestä ennätyksestä, vaikka rahasummat jäivät kauas aiempien yksittäishyökkäysten tasosta. Hyökkääjät siirtyivät koodivirheistä operatiivisiin heikkouksiin. Se muuttaa sitä, mitä omia varojaan säilyttävän kannattaa vahtia.
Murtojen tahti ratkaisee tällä kertaa, ei niiden koko. Hajautettu rahoitus (DeFi) kirjasi vuoden 2026 toisella neljänneksellä noin 70 erillistä hyökkäystä, mikä tekee siitä lohkoketjuhistorian murtolukumäärältään ennätyksellisen neljänneksen. Lukema on noin kaksinkertainen edelliseen neljännesennätykseen verrattuna.
Tiedot perustuvat DefiLlaman hakkerointitietokantaan, jonka luvut uutispalvelu The Defiant kävi läpi. Varastettu kokonaissumma oli noin 746 miljoonaa dollaria. Se on iso luku, mutta jää kauas aiemmista yksittäisistä jättihyökkäyksistä. Pelkkä helmikuun 2025 Bybit-murto ylsi noin 1,4 miljardiin dollariin.
Huhtikuu nosti tahdin huippuunsa. Yksin se kirjasi 28–30 vahvistettua tapausta ja yli 625 miljoonan dollarin tappiot. Kaksi iskua kattoi 93 prosenttia kuukauden tappioista: Drift Protocolin 285 miljoonan dollarin murto ja KelpDAO:n 293 miljoonan dollarin hyökkäys.
Toukokuu näytti toisenlaiselta. Tappiot, 84,2 miljoonaa dollaria, jakautuivat 41 tapaukseen 16 lohkoketjussa. Yhtään huhtikuun mittaluokan iskua ei tullut.
Hyökkäykset siirtyivät koodista infrastruktuuriin
Tärkein muutos koskee sitä, miten varat viedään. Aiemmin otsikoita hallitsivat älysopimusten koodivirheet. Nyt suurimmat iskut tulivat operatiivisten ja infrastruktuurin heikkouksien kautta.
Kvartaalin neljästä suurimmasta tapauksesta kolme kuului tähän luokkaan. Drift Protocolin isku oli sosiaalista manipulointia, jonka tutkijat ovat yhdistäneet Pohjois-Korean Lazarus-ryhmään. KelpDAO menetti varat LayerZero-sillan väärennettyjen viestien kautta, ja Thorchainin holveja tyhjennettiin osoitemyrkytyksellä. Yksikään näistä ei hyödyntänyt ketjun sisäistä logiikkavirhettä.
Osoitemyrkytys (address poisoning)
Hyökkääjä lähettää uhrille pieniä tapahtumia osoitteesta, joka muistuttaa erehdyttävästi tuttua vastapuolta. Tavoitteena on, että uhri kopioi myöhemmin maksuun väärän, hyökkääjän hallinnoiman osoitteen tapahtumahistoriastaan.
Toukokuussa infrastruktuuritason iskut – multisig-manipulointi, siltojen varmennusten ohitukset ja holvien osoitemyrkytys – kattoivat 63 prosenttia dollaritappioista. Riski myös keskittyi Ethereumiin. Ethereum-yhteydessä olevat protokollat vastasivat 61,9 miljoonasta dollarista eli noin 74 prosentista toukokuun tappioista.
– Hyökkääjät pääsivät sisään operatiivisten ja infrastruktuurin aukkojen kautta ketjun logiikkavirheiden sijaan, kirjoittaa The Defiant katsauksessaan.
Siltoihin liittyvät tapaukset ovat vieneet yli 328 miljoonaa dollaria koko vuoden 2026 aikana, ilmenee tietoturvayhtiö CertiKin Skynet-raportista. Pelkkä KelpDAO:n lompakon vaarantuminen kattaa siitä 291,3 miljoonaa dollaria.
Mitä omia varojaan säilyttävän kannattaa vahtia
Mikä tästä seuraa suomalaiselle DeFi-käyttäjälle? Kun hyökkäykset siirtyvät koodista toimintatapoihin, auditoitu sopimus ei enää yksin riitä. Yksityisavainten säilytys, siltojen käyttö ja allekirjoitusten tarkistus nousevat keskiöön. Humanity Protocolin 36 miljoonan dollarin kesäkuinen murto lähti liikkeelle säätiön kannettavalle tallennetusta yksityisavaimesta.
Rikollisten kannalta haaste ei ole vain murto vaan varojen pesu. Viranomaiset hajottivat tällä viikolla kryptorahanpesuverkoston, joka oli kytköksissä kiristysohjelmajengeihin, kertoo NewsBTC ketjuanalyysiyhtiö Chainalysiksen tietojen pohjalta. Iskut pesuketjuihin ovat toistaiseksi harvinaisempia kuin itse murrot.
DefiLlaman luvut voivat vielä tarkentua. Osa kesäkuun tapauksista on yhä tutkinnassa, eikä 746 miljoonan dollarin summa huomioi takaisin saatuja varoja. Jää nähtäväksi, jatkuuko tahdin kiihtyminen myös kolmannella neljänneksellä.
