У квітні 2026 року сфера DeFi зазнала найсерйознішої за останні роки кризи довіри. За даними таких організацій, як CertiK, у цьому місяці через хакерські атаки, використання вразливостей та інші інциденти було завдано збитків безпеці на суму приблизно 6,34–6,51 мільярда доларів США, що більш ніж у десять разів перевищує сплеск у 59,5 мільйона доларів у березні, встановивши новий рекорд за найбільші щомісячні збитки з березня 2022 року. Ще більш насторожує те, що у цьому місяці сталося 31 незалежна атака, майже щодня — без урахування збитків і частоти атак — цей показник оновлює історичні рекорди DeFi.

Дві найбільші масштабні справи, що опинилися в центрі цієї бурі — KelpDAO і Drift Protocol — разом забрали понад 90% вкрадених активів за місяць. KelpDAO через вразливість у механізмі перевірки міжланцюгового мосту був використаний зловмисником, який обійшов систему безпеки і створив штучно токени rsETH на суму 2,92 мільярда доларів, а потім заставив ці токени у позики на платформах, таких як Aave, позичаючи реальний Ethereum. Це не лише поставило під загрозу майже 2 мільярди доларів потенційних збитків для Aave, а й за 24 години викликало виведення понад 8 мільярдів доларів з платформи, що спричинило зниження загальної заблокованої вартості (TVL) приблизно на 32%. Наступна подія з Drift Protocol також була шокуючою: зловмисник, за допомогою шести місяців проникнення у внутрішні системи, у кінцевому підсумку викрав ключ адміністратора і перевів активи на суму близько 2,85 мільярда доларів. Обидва випадки були пов’язані з групою Lazarus, що має північнокорейське походження, і їх поведінкові характеристики у блокчейні були надзвичайно схожими у цій серії атак.

Ця хвиля кризи безпеки не є випадковістю, а є наслідком тривалого розвитку DeFi за моделлю «ефективність понад усе», що призвело до масштабного вибуху. Вона відкрила три системні ризики на глибоких рівнях: по-перше, уразливості механізму перевірки міжланцюгових мостів, де архітектура з одним валідатором ставить під загрозу мільйонні кошти, що зберігаються під захистом одного приватного ключа; цей ризик вже був попереджений у випадку з мостом Ronin у 2022 році, але ігнорувався галуззю. По-друге, соціальна інженерія та довгострокові приховані атаки стають новими головними загрозами, оскільки методи атак змінилися з простих вразливостей у коді на комплексне проникнення через людські права доступу та процеси. По-третє, здатність DeFi до комбінації (компонованості) збільшує не лише потенційний прибуток, а й ризики — вразливість одного протоколу може швидко перерости у ланцюгову реакцію кількох протоколів.

Реакція ринку також була дуже гострою. Весь сектор DeFi за короткий період втратив близько 13 мільярдів доларів у TVL, депозити в Aave знизилися на 38%, а токен AAVE впав на 15–21%. Кошти переважно переміщуються з високоризикових протоколів у більш зрілі платформи для позик або централізовані сховища. Глибший вплив полягає у зниженні довіри з боку інституцій: JPMorgan чітко зазначив, що постійні вразливості безпеки та застій у зростанні TVL суттєво знижують привабливість DeFi для інституційних інвесторів. Водночас, Standard Chartered, хоча й зберігає оптимізм щодо довгострокових перспектив ринку RWA, визнає необхідність структурних оновлень у міжланцюгових ризиках.