अराओज़ ने लिखा, “कोडिंग एजेंट कमज़ोरियाँ ढूंढने में सुपरह्यूमन (इंसानों से कहीं बेहतर) हैं। स्मार्ट कॉन्ट्रैक्ट सुरक्षा बहुत ज़्यादा विषम है: डिफेंडर्स को हर बग ठीक करना है जबकि अटैकर्स को फंड चुराने के लिए बस एक एक्सप्लॉइट चाहिए” ।
यह कोई ऐसा बग नहीं है जिसे एक बेहतर ऑडिट ठीक कर सके। यह AI-असिस्टेड हमलों के काम करने के तरीके की एक संरचनात्मक विशेषता है। पारंपरिक बचाव — जैसे ओपन-सोर्स ट्रांसपेरेंसी, कई स्वतंत्र ऑडिट, और औपचारिक सत्यापन — उस दौर के लिए डिज़ाइन किए गए थे जब इंसानी हमलावर और इंसानी डिफेंडर लगभग बराबरी पर थे। AI उस पूरे गणित को बदल देता है ।
अराओज़ की चेतावनी बिना वजह नहीं आई। अप्रैल 2026 में कई हमलों का तांता लगा जिन्होंने मिलकर 25 से अधिक अलग-अलग घटनाओं में DeFi प्रोटोकॉल से $630 मिलियन से $647 मिलियन के बीच की रकम उड़ा ली — फरवरी 2025 के बाद से सबसे अधिक मासिक नुकसान, जब यह आँकड़ा $1.47 बिलियन था ।
1. Drift Protocol — $285 मिलियन (1 अप्रैल)
महीने की शुरुआत उत्तर कोरियाई लाज़रस ग्रुप (Lazarus Group) से जुड़े एक सोफिस्टिकेटेड सोशल इंजीनियरिंग अभियान से हुई। हमलावरों ने Drift सिक्योरिटी काउंसिल के सदस्यों का विश्वास जीतने में लगभग छह महीने लगाए, और अंततः उन्हें धोखे से ऐसे ट्रांज़ैक्शन पर पहले से साइन करने के लिए राजी कर लिया जिससे विशेषाधिकार प्राप्त एक्सेस मिल गया। अंदर घुसने के बाद, हमलावरों ने एक फेक टोकन को कोलैटरल (गिरवी) के रूप में जमा किया और सोलाना-बेस्ड DEX से लगभग $285 मिलियन निकाल लिए — और यह सब महज़ 10 सेकंड में हुआ ।
यह कोई स्मार्ट कॉन्ट्रैक्ट बग नहीं था। यह एक गवर्नेंस स्ट्रक्चर का मानवीय समझौता था।
2. KelpDAO — $293 मिलियन (18 अप्रैल)
2026 का सबसे बड़ा DeFi एक्सप्लॉइट KelpDAO के लेयरज़ीरो (LayerZero) क्रॉस-चेन ब्रिज पर हुआ। एक हमलावर ने 116,500 rsETH — जिसकी कीमत लगभग $293 मिलियन थी — को मिंट किया और इन टोकनों को कोलैटरल के रूप में इस्तेमाल करके असली ETH उधार लिया, जिसे फिर THORChain के ज़रिए निकाल लिया गया । चैनालिसिस (Chainalysis) ने बाद में पाया कि इस एक्सप्लॉइट ने पारंपरिक स्मार्ट कॉन्ट्रैक्ट विफलता के बजाय ऑफ-चेन वेरिफिकेशन (off-chain verification) की कमज़ोरियों को उजागर किया
।
48 घंटों के भीतर, घबराए हुए यूज़र्स ने निकासी का ऐसा सिलसिला शुरू किया जिसने DeFi के टोटल वैल्यू लॉक्ड (TVL) से अरबों डॉलर साफ कर दिए। सबसे बड़े लेंडिंग प्रोटोकॉल Aave ने तुरंत अपने कई वर्शन पर rsETH मार्केट को फ्रीज़ कर दिया ।
3. Wasabi — एडमिन की (private key) से समझौता (अप्रैल)
अप्रैल की एक तीसरी बड़ी घटना में Wasabi को निशाना बनाया गया, जिसमें एक कम्प्रोमाइज़्ड एडमिन की (private key) ने पूरे प्रोटोकॉल में डोमिनो इफेक्ट शुरू कर दिया। Drift और KelpDAO के साथ मिलकर, ये तीनों हमले तीन स्पष्ट रूप से अलग-अलग श्रेणियों के “नॉन-कोड फेलियर” को दर्शाते हैं — सोशल इंजीनियरिंग, ऑफ-चेन वेरिफिकेशन की कमज़ोरियाँ, और इंफ्रास्ट्रक्चर से समझौता ।
सिक्योरिटी विश्लेषकों ने नोट किया कि 2026 में नुकसान पहुँचाने वाली कमज़ोरी की श्रेणियाँ — एक्सेस कंट्रोल फेलियर, प्रॉक्सी अपग्रेडेबिलिटी एक्सप्लॉइट और क्रॉस-चेन ब्रिज अटैक — ऐसे अटैक वेक्टर हैं जो 2020 में मुश्किल से मौजूद थे ।
आँकड़े एक निराशाजनक तस्वीर पेश करते हैं। DeFi का टोटल वैल्यू लॉक्ड (TVL) अपने अक्टूबर 2025 के लगभग $170 बिलियन के शिखर से 50% से अधिक गिरकर मई 2026 के मध्य तक मोटे तौर पर $38–$43 बिलियन तक आ गिरा — FTX क्रैश के बाद से सबसे बुरा संकुचन । एक ट्रैकर ने मई के अंत में TVL को $82.08 बिलियन पर रखा, जो अब भी एसेट प्राइस कम्प्रेशन और असली पूंजी की निकासी दोनों को दर्शाता है
।
अराओज़ की 26 मई की चेतावनी ने घबराए हुए रिटेल और संस्थागत निवेशकों की एक ताज़ा लहर में और निकासी जोड़ दी, जो इस उम्मीद से चिपके हुए थे कि स्थापित प्रोटोकॉल सुरक्षित हैं। हकीकत यह थी कि जिन प्रोटोकॉल को सुरक्षित करने में ओपनज़ेपेलिन ने 2015 से मदद की थी — Aave, MakerDAO और Compound — अब उसी सिक्योरिटी एक्सपर्ट द्वारा असुरक्षित करार दिए गए थे जो उनके कोड को सबसे बेहतर जानता था ।
एक अस्तित्व के संकट का सामना करते हुए, DeFi इंडस्ट्री ने अपने इतिहास की सबसे समन्वित प्रतिक्रियाओं में से एक को अंजाम दिया।
DeFi United रेस्क्यू फंड। Aave के नेतृत्व में, Mantle, Consensys, Lido, EtherFi और Compound सहित 30 से अधिक प्रोटोकॉल और फर्मों ने KelpDAO एक्सप्लॉइट के बाद बैड डेट को कवर करने और rsETH बैकिंग को बहाल करने के लिए ईथर में $300 मिलियन से अधिक की प्रतिज्ञा की । इस पहल ने 43,500 ETH से अधिक की प्रतिबद्धताएँ जुटाईं, जिसमें अकेले Mantle ने Aave DAO को 30,000 ETH तक उधार देने का प्रस्ताव रखा
। स्टैंडर्ड चार्टर्ड ने सार्वजनिक रूप से इस प्रयास की सराहना की और इसे इकोसिस्टम के परिपक्व होने का सबूत बताया
।
Arbitrum का अभूतपूर्व हस्तक्षेप। आर्बिट्रम (Arbitrum) सिक्योरिटी काउंसिल ने KelpDAO हमले से जुड़े लगभग 30,766 ETH को बिना हमलावरों की प्राइवेट की के फ्रीज़ करने और मूव करने का विवादास्पद निर्णय लिया। यह एक लेयर 2 नेटवर्क द्वारा सबसे आक्रामक ऑन-चेन हस्तक्षेपों में से एक था ।
इमरजेंसी प्रोटोकॉल हॉल्ट। KelpDAO ने ब्रीच का पता चलने के कुछ ही घंटों के भीतर मेंननेट और L2s पर सभी कॉन्ट्रैक्ट को रोक दिया। Aave ने कैस्केडिंग लिक्विडेशन को रोकने के लिए अपने V3 और V4 पर अपने rsETH मार्केट को फ्रीज़ कर दिया ।
रेगुलेटरी दबाव बढ़ा। EU के वित्तीय नियामकों ने DeFi प्रोटोकॉल के लिए इमरजेंसी लाइसेंसिंग आवश्यकताओं का मसौदा तैयार करना शुरू कर दिया, जबकि US ट्रेजरी ने $50 मिलियन से अधिक की यूज़र एसेट्स को संभालने वाले प्रोटोकॉल पर बढ़ी हुई निगरानी के संकेत दिए ।
Drift Protocol की रिकवरी। टीथर (Tether) ने Drift यूज़र्स के लिए एक रेवेन्यू-लिंक्ड रिकवरी पूल को फंड करने के लिए $127.5 मिलियन की प्रतिबद्धता जताई, जो DeFi इतिहास में किसी स्टेबलकॉइन जारीकर्ता द्वारा सबसे बड़े बेलआउट में से एक है ।
इन असाधारण प्रयासों के बावजूद, मूल तर्क अनुत्तरित है। अराओज़ की चेतावनी एक्सप्लॉइट में अस्थायी बढ़ोतरी या कुछ प्रोटोकॉल के बारे में नहीं है जिन्हें बेहतर ऑडिट की ज़रूरत है। यह एक संरचनात्मक निदान है: AI-संचालित हमलावरों ने सुरक्षा समीकरण को स्थायी रूप से बदल दिया है, और इंडस्ट्री ने अभी तक कोई तुलनीय रक्षात्मक सफलता प्रदर्शित नहीं की है ।
जो प्रोटोकॉल अप्रैल 2026 में बच गए, वे अब एक ऐसी दुनिया में काम कर रहे हैं जहाँ सोशल इंजीनियरिंग सेकंडों में $285 मिलियन निकाल सकती है, जहाँ ब्रिज वेरिफायर को $293 मिलियन के फेक कोलैटरल को मिंट करने के लिए स्पूफ किया जा सकता है, और जहाँ AI एजेंट किसी भी मानव ऑडिट टीम की पैच लगाने की क्षमता से कहीं अधिक तेज़ी से नई कमज़ोरियों को स्कैन कर सकते हैं। जब तक इस विषमता को एक बुनियादी स्तर पर — आर्किटेक्चर, गवर्नेंस रीडिज़ाइन और AI-संचालित रक्षा के माध्यम से — संबोधित नहीं किया जाता, अराओज़ की चेतावनी कायम रहेगी।