II kwartał 2026 roku staje się najbardziej zhakowanym kwartałem w historii kryptowalut – ponad 80 exploitów

Drugi kwartał 2026 roku przejdzie do historii jako najgorszy kwartał pod względem naruszeń bezpieczeństwa w branży kryptowalut, gorszy niż jakikolwiek inny trzymiesięczny okres – wynika z danych DeFiLlama. Do 22 czerwca odnotowano około 83 incydentów, co stanowi dwukrotność poprzedniego rekordu częstotliwości ataków.

Jednak łączna kwota strat jest nadal poniżej najgorszych wyników w historii branży. Całkowita wartość skradzionych środków w Q2 wynosi około 775 milionów dolarów; choć jest wysoka, to wciąż ułamek szczytowych wartości odnotowanych w niektórych kwartałach poprzednich lat.

Platforma analityczna rynku kryptowalut Unfolded opisała rodzaj exploitów, które nieustannie zasilały złe wiadomości w tym kwartale, pisząc na X: „Zamiast kilku gigantycznych exploitów, mieliśmy do czynienia z nieustannym strumieniem mniejszych ataków." 

Czwarty kwartał 2020 roku nadal utrzymuje rekord strat w dolarach na poziomie 3,56 miliarda dolarów.

Które exploity spowodowały największe straty w Q2? 

Naruszenie KelpDAO na kwotę 293 milionów dolarów oraz exploit Drift Protocol na 280 milionów dolarów łącznie odpowiadają za ponad trzy czwarte całości skradzionych środków w Q2. 

Oba incydenty miały miejsce w kwietniu, który CertiK potwierdził jako rekordowy miesiąc z łącznymi stratami branży wynoszącymi około 651 milionów dolarów w wyniku 28 do 30 oddzielnych ataków.

Za najkosztowniejsze ataki odpowiadały luki w mostach cross-chain. Exploity związane z mostami odpowiadają za szacowane straty w wysokości 351 milionów dolarów w Q2. 

Sama luka w moście LayerZero OFT, stojąca za incydentem KelpDAO, stanowiła ponad 38% wszystkich skradzionych środków w tym kwartale.

Przejęte dane uwierzytelniające administratorów oraz fałszywa manipulacja ceną tokenów stanowiły kolejne 37% strat. Kradzież klucza prywatnego odpowiadała za około 5,7%.

Jaka była częstotliwość ataków na projekty kryptowalutowe miesiąc do miesiąca?

Miesięczne raporty CertiK pokazują, że w kwietniu odnotowano 58 incydentów, w maju 60, a w czerwcu dotychczas 25, przy czym pozostało jeszcze ponad tydzień – według trackera DefiLlama. 

Straty w dolarach w maju były znacznie niższe i wyniosły 68,3 miliona dolarów w ramach tych 60 incydentów – według CertiK – co potwierdza wzorzec częstych, ale mniejszych naruszeń.

Czerwiec przyniósł już kilka znaczących exploitów, z których jednym jest naruszenie Humanity Protocol, w wyniku którego 8 czerwca utracono 32 miliony dolarów na skutek kompromitacji klucza prywatnego. Porzucone inteligentne kontrakty Aztec Connect zostały dwukrotnie wykorzystane w ciągu tygodnia – pierwszy incydent to naruszenie na 2,19 miliona dolarów 14 czerwca, po którym nastąpiło oddzielne wyprowadzenie 2 milionów dolarów 17 czerwca, jak udokumentował Cryptopolitan. 

Taiko potwierdziło 22 czerwca, że atakujący wykorzystali mechanizm weryfikacji jego mostu na kwotę 1,7 miliona dolarów; PeckShield oszacował straty, a Lookonchain śledził 1,99 miliona tokenów TAIKO przeniesionych na MEXC.

Zdecentralizowana giełda Raydium straciła 1,34 miliona dolarów w wyniku ataku z fałszywym mintowaniem LP 10 czerwca.

Przestarzałe kontrakty stają się coraz częstszym celem hakerów

Inteligentne kontrakty porzucone wcześniej przez zespoły deweloperskie ponownie pojawiają się w wiadomościach, ale nie z dobrych powodów – atakujący zdają się skupiać na nich swoją uwagę.

Kolejne incydenty Aztec dotknęły produkty, które zostały wycofane z użytku w 2022 i 2023 roku, a kontrole administracyjne zostały zrzeczone on-chain, nie pozostawiając żadnego mechanizmu do awaryjnych łatek – według Aztec Labs.

Innym atakiem z udziałem przestarzałych kontraktów był ten, w wyniku którego 15 czerwca z przestarzałego skarbca powiązanego z Thetanuts Finance wyprowadzono 2,1 miliona dolarów. 

Badacz bezpieczeństwa Blockful.eth zwrócił uwagę na ten pojawiający się wzorzec na X, odnotowując, że wiele exploitów uderzyło w „stare kontrakty z milionami dolarów leżącymi bezczynnie." 

Co ten trend oznacza dla reszty 2026 roku?

Skumulowane straty w 2026 roku, od stycznia do końca maja, osiągnęły około 1,3 miliarda dolarów – według CertiK. Incydenty z czerwca powiększają tę sumę, a kwartał wciąż trwa.

Najnowszy trend ataków o niższej wartości stanowi zmianę w porównaniu z wcześniejszymi latami, kiedy jeden exploit mostu lub naruszenie giełdy mogło odpowiadać za miliardy dolarów strat. 

Częste ataki celują teraz w dostęp administracyjny, infrastrukturę mostów i porzucony kod, w przeciwieństwie do sporadycznych katastrofalnych zdarzeń z przeszłości.

Jednak możliwości reagowania uległy poprawie – przykładem jest incydent KelpDAO z kwietnia. Arbitrum Security Council zamroziła 71 milionów dolarów środków atakującego KelpDAO, korzystając z uprawnień awaryjnych, jak donosi Cryptopolitan.

Nie tylko czytaj wiadomości o kryptowalutach. Zrozum je. Zapisz się do naszego newslettera. To bezpłatne.