Kryptosäkerhetsbekymmer inom DeFi
Kryptosäkerhetsbekymren har intensifierats efter att Manuel Aráoz, medgrundare av OpenZeppelin, meddelat att han har rådgett vänner och familj att avveckla alla positioner inom decentraliserad finans (DeFi), inklusive exponering mot stora utlåningsprotokoll. I ett inlägg publicerat på tisdag på X (tidigare Twitter) uttryckte Aráoz att han inte längre anser att ”alla DeFi” är säkra. Han argumenterade för att balansen mellan angripare och försvarare har lutat för långt till förmån för hackare. Även lägre riskpositioner kopplade till etablerade protokoll som Aave, MakerDAO och Compound ingick i hans varning.
”PSA: Jag anser nu att alla DeFi är osäkra. Kodningsagenter är övermänskliga när det kommer till att hitta sårbarheter, och säkerheten för smarta kontrakt är för asymmetrisk: försvarare måste åtgärda varje bugg medan angripare bara behöver en sårbarhet för att stjäla medel,” sade han.
När han beskrev det nuvarande tillståndet för säkerheten för smarta kontrakt, påpekade Aráoz att kodningsagenter har blivit ”övermänskliga på att hitta sårbarheter”, medan utvecklare förblir fast i ett system där ”försvarare måste åtgärda varje bugg medan angripare bara behöver en sårbarhet för att stjäla medel.”
”Jag har privat rådgett vänner och familj att lämna alla DeFi-positioner, inklusive lågrisk ’blue chips’ som Aave, MakerDAO och Compound,” tillade han.
DeFi-exploateringar och förluster
Aráozs kommentarer kom i en tid då kryptobranschen fortsätter att hantera en av de mest skadliga perioderna för DeFi-exploateringar sedan Bybit-hacket på 1,5 miljarder dollar i februari 2025. Data från DefiLlama visade att ungefär 629,7 miljoner dollar stals från DeFi-protokoll bara i april, vilket gjorde det till den värsta månaden för kryptorelaterade hack på mer än ett år. Två attacker stod för det mesta av förlusterna. Bland de största incidenterna förlorade Drift Protocol cirka 285 miljoner dollar efter att angripare rapporterades ha använt en social ingenjörskampanj som varade i sex månader. Kelp DAO drabbades av ytterligare 293 miljoner dollar i exploatering kopplad till sårbarheter i sin cross-chain-broinfrastruktur.
Säkerhetsforskare och blockchainutredare har i stor utsträckning kopplat båda attackerna till nordkoreanska statligt stödda hackargrupper. DefiLlama registrerade 27 DeFi-exploateringsincidenter under april. Samtidigt föll det totala värdet låst i DeFi-protokoll med cirka 14% från nivåerna i mitten av april, från nästan 172 miljarder dollar till omkring 148 miljarder dollar.
Koncentrationen av förluster kom i stor utsträckning från brotrelaterade svagheter, privilegierade åtkomstfel och operationella misstag istället för isolerade kodbuggar. Utöver de två största intrången fortsatte flera mindre attacker att drabba protokoll under månaden. Som tidigare rapporterats av crypto.news förlorade Wasabi Protocol ungefär 5,5 miljoner dollar över Ethereum, Base, Blast och Berachain-nätverken under en aktiv exploatering. Move-to-earn-plattformen Sweat Economy rapporterade också förluster på cirka 3,46 miljoner dollar efter att angripare tömde nästan 65% av dess likviditetspool på under 30 sekunder.
”Vi är glada att bekräfta att ALLA externa kontobalanser har återställts helt och att verksamheten har återgått till det normala. Vi uppskattar djupt stödet och råden från gemenskapen som hjälpte oss att lösa detta snabbt. Ett särskilt tack går till för den snabba frysningen av…”
Under tiden förlorade den decentraliserade handelsplattformen Aftermath Finance på Sui-blockkedjan nästan 1,1 miljoner dollar i USDC från sin perpetuals-plattform. Blockchain-säkerhetsföretaget Blockaid rapporterade att angriparen genomförde 11 transaktioner under cirka 36 minuter. Blockaid upptäckte och flaggade en aktiv exploatering på Perpetuals där USDC tömdes över 11 transaktioner på cirka 36 minuter av angriparen 0x1a65086c85114c1a3f8dc74140115c6e18438d48d33a21fd112311561112d41e.
Exploateringen riktade sig mot en bugg i perp… Även om maj inte har producerat förluster i den skala som sågs i april, har säkerhetsincidenter fortsatt att påverka DeFi-sektorn. Bland de senaste fallen utnyttjades Verus Networks Ethereum-bro för 11,6 miljoner dollar. Prognosmarknadsplattformen Polymarket avslöjade också ett intrång på 573 200 dollar förra veckan, som företaget sa kan ha involverat en komprometterad privat nyckel kopplad till en intern påfyllningsplånbok.
