As explorações de abril foram impulsionadas menos por bugs de contratos inteligentes e mais por engenharia social, falsificação de pontes e reconhecimento assistido por IA.
Os protocolos DeFi e a infraestrutura criptográfica sofreram 28 explorações separadas, totalizando US$ 635,2 milhões em abril, a maior contagem mensal de incidentes já registrada pela DefiLlama e cerca de quatro vezes os US$ 167 milhões roubados em todo o primeiro trimestre.
A contagem de incidentes quase dobrou em relação ao pico mensal anterior de 15, estabelecido apenas um mês antes.
Em termos de dólares, abril é o sexto maior mês já registrado, mas a concentração foi extrema: a exploração da ponte Kelp DAO de US$ 293 milhões em 18 de abril e a drenagem do Drift Protocol de US$ 285 milhões em 1º de abril representaram US$ 578 milhões, ou 91% do total mensal. O TRM Labs vinculou ambos os ataques à Coreia do Norte e agora estima que os atores afiliados à RPDC são responsáveis por 76% de todas as perdas de hackers criptográficos registadas em 2026, com roubos acumulados superiores a 6 mil milhões de dólares desde 2017.
O incidente Kelp, no qual um invasor forjou uma mensagem entre cadeias através da ponte LayerZero do protocolo para liberar 116.500 rsETH sem nenhum apoio da cadeia de origem, desencadeou a maior resposta coordenada da indústria do ciclo, com a coalizão DeFi United arrecadando mais de US$ 300 milhões para restaurar o apoio do rsETH.
Para além dos dois eventos principais, a longa cauda dos incidentes de Abril sublinhou uma superfície de ataque cada vez mais ampla. Rhea Lend perdeu US$ 18,4 milhões em 16 de abril devido a uma exploração de garantia falsa, a exchange sancionada ligada à Rússia Grinex foi drenada em US$ 15 milhões em uma violação de carteira quente no mesmo dia, e Wasabi Perps fechou o mês com um comprometimento de chave de administrador de US$ 5,5 milhões em 30 de abril.
A IA é a culpada?
Um número crescente de analistas aponta a IA como um motor estrutural por trás do aumento.
O TRM observou em seu relatório que as operadoras norte-coreanas parecem estar incorporando ferramentas de IA em fluxos de trabalho de reconhecimento e engenharia social, consistente com a preparação de vários meses por trás do ataque Drift.
O analista independente DefiIgnas argumentou que a ampla gama de explorações menores também se enquadra em um padrão assistido por IA, com os invasores provavelmente usando modelos de fronteira para procurar protocolos que raramente são atualizados, compartilhar vulnerabilidades com projetos anteriormente invadidos e manter pelo menos US$ 100.000 em seus contratos. O contrato da Sweat Foundation na NEAR, drenado por US$ 3,5 milhões em 29 de abril, se enquadra nesse perfil, com seu recurso principal DeFi atualizado pela última vez sete meses antes da exploração.
A mudança dos bugs de contratos inteligentes para vetores de ataque operacional e humano continuou a definir o mês. Dos 28 incidentes rastreados, as maiores perdas resultaram de comprometimentos no nível da infraestrutura, e não de vulnerabilidades de código, com a engenharia social de assinantes multisig, falsificação de mensagens de ponte e comprometimentos de chave administrativa causando a maior parte dos danos.
“O hack do Drift começou com meses de construção de relacionamento em conferências antes que um multisig fosse comprometido. O KelpDAO foi atingido quando os invasores trocaram silenciosamente o software do servidor e esperaram pelo momento certo. Essas são operações pacientes e com bons recursos”, disse o CEO da Certora, Seth Hallem, ao The Defiant.
“A solução não são mais auditorias de código – é uma abordagem de toda a empresa para modelagem de ameaças e práticas recomendadas de segurança”, acrescentou.
Este artigo foi escrito com a ajuda de fluxos de trabalho de IA. Todas as nossas histórias são selecionadas, editadas e verificadas por um ser humano.
Fontesthedefiant
