A DeFi, vagyis a decentralizált pénzügy világa eredetileg azt ígérte, hogy bankok, közvetítők és zárt rendszerek nélkül ad hozzáférést hitelezéshez, kereskedéshez, hozamtermeléshez és blokklánc-alapú pénzügyi szolgáltatásokhoz. 2026 első hónapjai azonban brutális emlékeztetőt adtak: ahol sok pénz mozog, ott a támadók is egyre kifinomultabbak. Az idei DeFi-támadások már nem egyszerű kódhibákról szólnak, hanem hidakról, adminisztrátori kulcsokról, mesterséges intelligenciáról, államilag támogatott hackercsoportokról és arról, hogy a kriptoszektor biztonsági modellje mennyire bírja el a valódi pénzügyi rendszer terheit.
2026 a DeFi biztonsági válság éve lehet
A DeFi-piac 2026-ban újra szembesült azzal a problémával, amely évek óta árnyékként követi a decentralizált pénzügyi alkalmazásokat: a protokollok technikailag nyitottak, gyorsan fejlődnek, egymásra épülnek, de sok esetben túl sok bizalmi pontot rejtenek magukban.
A feltöltött angol cikk szerint 2026 első öt hónapjában több mint 840 millió dollár veszett el DeFi-hackekben, és csak áprilisban több mint 600 millió dollárt loptak el. A két legnagyobb támadás a KelpDAO elleni 292 millió dolláros exploit, valamint a Drift Protocol 285 millió dolláros incidense volt. Májusban a veszteségek folytatódtak: a THORChain kereskedését is le kellett állítani, miután biztonsági kutatók egy több mint 10 millió dollárt érintő, feltételezett cross-chain exploitot jeleztek.
Ez nem csupán technológiai hír. Ez piaci bizalmi kérdés. A DeFi-ben a felhasználók gyakran nem egy banknak, hanem okosszerződéseknek, hidaknak, multisig tárcáknak, fejlesztői jogosultságoknak és protokollirányítási rendszereknek adják át a pénzüket. Ha ezek közül bármelyik láncszem gyenge, a veszteség pillanatok alatt százmilliós nagyságrendű lehet.
Közben a szélesebb kriptopiac sem kockázatmentes környezetben mozog. 2026. május 21-én a Bitcoin nagyjából 76–78 ezer dollár körül ingadozott, az Ethereum pedig valamivel 2100 dollár felett járt. A hangulatot az ETF-piaci tőkekiáramlások is terhelték: a CoinShares május 18-i jelentése szerint a digitális eszközalapokból egy hét alatt 1,07 milliárd dollár áramlott ki, ebből a Bitcoin 982 millió, az Ethereum pedig 249 millió dolláros kiáramlást szenvedett el.
Mi az a DeFi, és miért vonzza a támadókat?
A DeFi, azaz decentralized finance, magyarul decentralizált pénzügy, olyan blokklánc-alapú pénzügyi szolgáltatásokat jelent, amelyek elvileg központi intézmény nélkül működnek. Egy DeFi-protokollban a felhasználó például kriptót helyezhet el fedezetként, hitelt vehet fel, likviditást biztosíthat egy kereskedési párhoz, vagy hozamot kereshet stakinggel, lendinggel, liquidity mininggal.
A kezdők számára ezt úgy lehet elképzelni, mint egy automatizált pénzügyi piacot, ahol a szabályokat nem banki ügyintézők, hanem okosszerződések hajtják végre. Egy hitelezési protokoll például automatikusan kezeli a fedezetet, kiszámolja a kamatot, és likvidálja a pozíciót, ha az adós fedezete már nem elégséges.
Ez hatékony, de veszélyes is. A DeFi-protokollokban gyakran hatalmas likviditás koncentrálódik, miközben a kód nyilvánosan ellenőrizhető. Ez a transzparencia a DeFi egyik legnagyobb erénye, de egyben támadási felület is. A támadó láthatja, hogyan működik a rendszer, tesztelheti a sebezhetőségeket, és ha hibát talál, automatizált módon, másodpercek alatt elviheti a pénzt.
A legnagyobb probléma az, hogy a modern DeFi már nem egyetlen egyszerű okosszerződésből áll. Sok protokoll több láncon működik, hidakat használ, külső árfolyam-orákulumokra támaszkodik, proxy szerződésekkel frissíthető, multisig adminisztrációval irányított, és gyakran más protokollokra épül. Ez azt jelenti, hogy a kockázat nem egy ponton jelenik meg, hanem az egész infrastruktúrában szétterül.
A cross-chain hidak a DeFi Achilles-sarkai
A cikk egyik legfontosabb állítása, hogy a DeFi-hackek jelentős része a cross-chain, vagyis láncok közötti infrastruktúrához kapcsolódik. A KelpDAO támadásánál a támadók körülbelül 116 500 rsETH-t vittek el egy cross-chain bridge-ből, nagyjából 292 millió dollár értékben. A LayerZero utólagos jelentése szerint a támadás már március 6-án elkezdődött, amikor egy fejlesztőt social engineeringgel megtévesztettek, és munkamenetkulcsokat szereztek meg.
A bridge, magyarul blokklánchíd, olyan technológia, amely lehetővé teszi, hogy egy eszköz értéke egyik blokkláncról a másikra kerüljön. Például ha valaki Ethereumon lévő ETH-t akar használni egy másik láncon, a híd gyakran zárolja az eredeti eszközt, majd egy másik láncon kibocsát egy becsomagolt, reprezentált verziót.
A probléma ott kezdődik, hogy ez a folyamat sokszor nem olyan egyszerű, mint amilyennek a felhasználói felületen látszik. A hídnak ellenőriznie kell, hogy a zárolás megtörtént-e, a másik láncon megfelelő mennyiségű token keletkezzen-e, és a visszaváltásnál ne lehessen ugyanazt az értéket kétszer felhasználni. Ha az ellenőrzési logika hibás, vagy a híd adminisztrátori kulcsai kompromittálódnak, a támadó akár hamis üzenetekkel is pénzt mozgathat.
Ezért mondják a biztonsági szakértők, hogy a hidak „célpontokban gazdag környezetet” jelentenek. Nem feltétlenül azért, mert minden bridge rosszul van megírva, hanem mert egy cross-chain rendszerben sokkal több a bizalmi feltételezés: hinni kell az üzenetküldő rétegben, az aláírókban, a validátorokban, az adminisztrátori jogosultságokban, a frissítési mechanizmusban és a vészleállító funkciókban is.
Észak-Korea szerepe: a kriptotámadások geopolitikai dimenziója
A DeFi-hackek ma már nem kizárólag kiberbűnözési ügyek. Egyre inkább geopolitikai kérdések is. Ari Redbord, a TRM Labs globális politikai és kormányzati ügyekért felelős vezetője szerint az idei támadási hullám egyik fő mozgatója Észak-Korea. A cikk alapján az Észak-Koreához köthető szereplők a globális kriptohack-veszteségek 76 százalékáért feleltek 2026 első négy hónapjában, szemben a 2025-ös 64 százalékkal és a 2020-as kevesebb mint 10 százalékkal.
Ez azért fontos, mert az államilag támogatott támadók más logika szerint működnek, mint az opportunista hackerek. Nem feltétlenül gyors, egyszeri hibát keresnek. Hónapokig építhetnek kapcsolatokat, célzottan közelíthetnek fejlesztőkhöz, hamis munkalehetőségeket, hamis befektetői megkereséseket, rosszindulatú dokumentumokat vagy manipulált kommunikációs csatornákat használhatnak.
A social engineering, magyarul társadalmi manipuláció, pontosan erről szól: nem a kódot törik fel először, hanem az embert. Például egy támadó elhitetheti egy fejlesztővel, hogy legitim partner, majd ráveszi egy fájl megnyitására, egy aláírás jóváhagyására, vagy egy hozzáférési token megosztására. Ha a támadó így megszerzi a megfelelő jogosultságot, onnantól a blokkláncon végrehajtott tranzakció akár teljesen szabályosnak is tűnhet.
Ez a DeFi egyik legkellemetlenebb tanulsága: a matematikailag korrekt okosszerződés sem véd meg attól, ha a hozzáférési kulcsokat rosszul kezelik, vagy ha a szervezet belső folyamatai gyengék.
Három visszatérő technikai hiba
Raz Niv, a Blockaid társalapítója és technológiai vezetője szerint az idei nagy támadásokban három technikai minta tér vissza: a privilegizált hozzáférések hibái, a rosszindulatú proxyfrissítések és a cross-chain üzenetellenőrzési hiányosságok.
Az első a privileged access control failure, vagyis a kiemelt jogosultságok hibás kezelése. Egy DeFi-protokollnál gyakran vannak adminisztrátori kulcsok, amelyekkel frissíteni lehet szerződéseket, paramétereket lehet módosítani, vészleállítást lehet indítani, vagy új szerepköröket lehet kiosztani. Ha ezek a kulcsok egyetlen személyhez kötődnek, rosszul konfigurált multisig mögött vannak, vagy social engineeringgel megszerezhetők, akkor a protokoll egész vagyona veszélybe kerülhet.
A második a malicious proxy upgrade, vagyis rosszindulatú proxyfrissítés. Sok okosszerződés frissíthető úgy, hogy a felhasználói cím látszólag ugyanaz marad, de a mögöttes implementációs logika megváltozik. Ez hasznos lehet hibajavításra, de ha a frissítési jogosultság rossz kézbe kerül, a támadó kicserélheti a szerződés működését egy hátsó ajtós verzióra.
A harmadik a cross-chain message verification gap, vagyis a láncok közötti üzenetek ellenőrzési hibája. Ha egy lánc elfogad egy hamis üzenetet egy másik láncról, akkor a támadó olyan tranzakciókat indíthat, amelyek mögött nincs valódi fedezet vagy jogosultság.
Egyszerű példával: képzeljünk el egy banki átutalási rendszert, ahol az egyik bank elfogadja a másik bank üzenetét arról, hogy „az ügyfél befizetett 1 millió dollárt”. Ha ezt az üzenetet hamisítani lehet, akkor a pénz létrejöhet anélkül, hogy bárki valóban befizette volna. A DeFi-hidaknál hasonló kockázat jelenik meg, csak blokkláncok között.
A mesterséges intelligencia nem feltalálja, hanem felgyorsítja a támadásokat
A cikk egyik legérdekesebb megállapítása, hogy a mesterséges intelligencia szerepét nem szabad félreérteni. A szakértők szerint az AI jelenleg nem feltétlenül „önálló hacker”, hanem inkább erősítő eszköz. Segíthet sebezhetőségeket keresni, régi vagy nem auditált szerződéseket átvizsgálni, támadási felületeket feltérképezni, adathalász üzeneteket hitelesebbé tenni, vagy nagy mennyiségű kódot gyorsan elemezni.
Ez olyan, mintha egy támadócsapat korábban kézzel böngészett volna több ezer szerződést, most viszont kapna egy automatizált elemzőrendszert, amely kiemeli a gyanús mintákat. A döntést még mindig emberek hozzák meg, de az előkészítő munka gyorsabb, olcsóbb és nagyobb léptékű.
A védők ugyanakkor ugyanazokat az eszközöket használhatják. AI-alapú monitorozás képes lehet szokatlan tranzakciós mintákat, váratlan jogosultságkiosztásokat, gyanús proxyfrissítéseket vagy hirtelen likviditásmozgásokat észlelni. A gond az, hogy a támadóknak elég egyszer jól időzíteniük, a védőknek viszont folyamatosan jól kell működniük.
Ezért a DeFi-biztonságban az AI nem csodaszer, hanem versenyfutás. Aki gyorsabban találja meg a hibát, az nyer: ha a biztonsági csapat, akkor javítás lesz belőle; ha a támadó, akkor exploit.
Miért nem elég az audit?
A DeFi-projektek gyakran hivatkoznak arra, hogy a kódjuk auditált. Ez fontos, de nem teljes körű védelem. Redbord szerint az auditok a kódhibák ellen segítenek, de nem védenek a kifinomult social engineering kampányok ellen. A Drift esetében például a cikk szerint észak-koreai proxyk hónapokon át építhették a hozzáférést a támadás előtt.
Az audit olyan, mint egy műszaki vizsga. Megmutathatja, hogy az autó fékei, lámpái és motorja rendben vannak-e. De nem akadályozza meg, hogy valaki ellopja a kulcsot. A DeFi-ben a „kulcs” sokszor szó szerint privát kulcs, session key, adminisztrátori jogosultság vagy multisig aláírási hozzáférés.
Ezért a modern DeFi-biztonság nem állhat meg a kódellenőrzésnél. Szükség van belső hozzáférés-kezelésre, hardveres kulcstárolásra, szigorú többaláírásos szabályokra, késleltetett frissítésekre, vészleállító mechanizmusokra, folyamatos monitoringra, munkatársi háttérellenőrzésre, incidensválasz-tervre és transzparens kommunikációra.
A nagy tanulság: a blokklánc on-chain része lehet nyilvános és matematikailag ellenőrizhető, de a projektet emberek működtetik. A támadók pedig gyakran nem ott mennek be, ahol a legerősebb a fal, hanem ahol nyitva maradt az oldalajtó.
A bizalomvesztés ára nagyobb, mint az ellopott pénz
A KelpDAO-incidens után a cikk szerint az Aave-ből 6,2 milliárd dolláros tőkekivonási hullám indult el, majd egy Stani Kulechov által vezetett „DeFi United” mentőakció 132 650 ETH-t, nagyjából 303 millió dollárt gyűjtött össze a rossz adósság fedezésére.
Ez két dolgot mutat egyszerre. Egyrészt a DeFi-közösség képes gyorsan mozgósítani, ha rendszerszintű kockázat jelenik meg. Másrészt azt is, hogy egyetlen bridge exploit milyen elképesztő tőkeigényt teremthet a károk enyhítéséhez.
A tapasztalt kriptósok talán úgy tekintenek ezekre az incidensekre, mint a piac fejlődési fájdalmaira. Az új felhasználók viszont másképp látják. Aki elveszíti a megtakarítását egy exploitban, annak nem vigasz, hogy „a protokoll tanult belőle”. Számára ez a kriptó egészének hitelességét kérdőjelezheti meg.
Ez különösen fontos akkor, amikor az intézményi kriptobefektetések egyre nagyobb szerepet kapnak. A spot Bitcoin ETF-eket az amerikai SEC 2024. január 10-én engedélyezte, ami mérföldkő volt a szabályozott kriptokitettség szempontjából. Az Ether ETF-ek 2024-ben szintén megnyitották az utat a szélesebb intézményi hozzáférés felé. De minél több hagyományos tőke érkezik a kriptoszektorba, annál kevésbé lesz elfogadható a „majd kijavítjuk” típusú biztonsági kultúra.
Mit jelent ez egy átlagos befektetőnek?
A DeFi továbbra is izgalmas, innovatív és potenciálisan hasznos terület. De nem szabad összekeverni a magas technológiai ígéretet az alacsony kockázattal. A DeFi-ben a hozam gyakran azért magasabb, mert a kockázat is magasabb.
Egy kezdő befektetőnek érdemes különbséget tennie több kockázati típus között. Van árfolyamkockázat, amikor például az ETH vagy egy DeFi-token ára esik. Van okosszerződés-kockázat, amikor a kódban van hiba. Van bridge-kockázat, amikor láncok közötti infrastruktúra sérül. Van adminisztrátori kockázat, amikor a protokoll kulcsai vagy jogosultságai kerülnek rossz kézbe. Van likviditási kockázat, amikor pánik esetén nem lehet időben kiszállni. És van szabályozási kockázat is, amely befolyásolhatja, hogy egy szolgáltatás hol és hogyan működhet.
A legfontosabb gyakorlati elv: nem elég azt nézni, mekkora hozamot ígér egy protokoll. Azt is vizsgálni kell, honnan jön a hozam, ki kezeli a kulcsokat, auditálták-e a rendszert, van-e bug bounty program, mennyi ideje működik incidens nélkül, mekkora a TVL, milyen láncokon fut, van-e vészleállítás, és hogyan kommunikált a csapat korábbi problémák idején.
A DeFi jövője: kevesebb vak bizalom, több ellenőrzés
A DeFi eredeti narratívája gyakran a „trustless”, vagyis bizalommentes pénzügy volt. A 2026-os támadások azonban azt mutatják, hogy sok rendszer valójában nem teljesen bizalommentes, csak a bizalom máshová került. Nem banki ügyintézőben bízunk, hanem multisig aláírókban. Nem központi elszámolóházban, hanem bridge validátorokban. Nem zárt banki infrastruktúrában, hanem nyílt, frissíthető okosszerződésekben.
A következő fejlődési szakasz valószínűleg nem a még bonyolultabb hozamstruktúrákról fog szólni, hanem a biztonsági egyszerűsítésről. Azok a protokollok lehetnek hosszú távon életképesebbek, amelyek kevesebb láncon, kevesebb adminisztrátori kockázattal, átláthatóbb frissítési folyamattal, erősebb monitoringgal és világosabb felhasználói kommunikációval működnek.
A DeFi nem halott, de a naiv DeFi-korszak véget érhet. A piacnak el kell fogadnia, hogy a biztonság nem marketingkiegészítő, hanem alapvető pénzügyi infrastruktúra. Aki pénzt kezel, annak banki szintű fegyelmet kell mutatnia, még akkor is, ha decentralizált protokollként működik.
Gyakori kérdések
Mi az a DeFi?
A DeFi decentralizált pénzügyi szolgáltatásokat jelent blokkláncon. Ilyen lehet a hitelezés, kereskedés, likviditásbiztosítás, staking vagy hozamtermelés központi banki szereplő nélkül.
Mi az az exploit?
Az exploit egy sebezhetőség kihasználása. A DeFi-ben ez gyakran okosszerződés-hibát, rossz jogosultságkezelést, bridge-hibát vagy manipulált árfolyamadatot jelent.
Miért támadják gyakran a hidakat?
Mert a cross-chain hidak sok pénzt kezelnek, és több blokklánc, validációs rendszer, üzenetküldési réteg és adminisztrátori jogosultság kapcsolódik bennük össze. Minél több a kapcsolódási pont, annál nagyobb a hibalehetőség.
Biztonságos egy auditált DeFi-protokoll?
Az audit javítja a biztonságot, de nem jelent garanciát. Az audit főként kódhibákat keres, de nem feltétlenül védi ki a social engineeringet, a kompromittált adminisztrátori kulcsokat vagy a rossz belső működési folyamatokat.
Mit jelent a social engineering a kriptóban?
Olyan támadási módszert, amelynél a támadó embereket téveszt meg. Például fejlesztőt, adminisztrátort vagy közösségi menedzsert vesz rá arra, hogy rosszindulatú fájlt nyisson meg, jogosultságot adjon, vagy bizalmas hozzáférést osszon meg.
Mi az a multisig?
A multisig, vagy többaláírásos tárca olyan kriptotárca, amelynél egy tranzakcióhoz több fél jóváhagyása kell. Ez biztonságosabb lehet, mint az egykulcsos irányítás, de csak akkor, ha a résztvevők, a küszöbértékek és a kulcskezelési szabályok megfelelőek.
Hogyan segítheti az AI a hackereket?
Az AI gyorsíthatja a kódelemzést, a sebezhetőségek keresését, a célpontok feltérképezését és a social engineering üzenetek elkészítését. Nem feltétlenül helyettesíti az emberi támadót, inkább hatékonyabbá teszi.
Hogyan védekezhet egy átlagos felhasználó?
Érdemes kerülni a túl magas, nehezen érthető hozamígéreteket, ellenőrizni a protokoll múltját, auditjait, TVL-jét, csapatát, kockázati dokumentációját, és soha nem szabad egyetlen DeFi-protokollban tartani a teljes kriptovagyont.
A DeFi-hackek miatt kerülni kell az egész DeFi-piacot?
Nem feltétlenül, de óvatosan kell kezelni. A DeFi magasabb technológiai és működési kockázatot hordoz, mint egy egyszerű spot Bitcoin- vagy Ethereum-kitettség. Aki nem érti a protokoll működését, annak különösen óvatosnak kell lennie.
Mi a legfontosabb tanulság 2026 DeFi-támadásaiból?
Az, hogy a biztonság nem csak kódkérdés. A DeFi-ben a technológiai, emberi, szervezeti és geopolitikai kockázatok egyszerre vannak jelen.
Jogi nyilatkozat
Ez a cikk kizárólag tájékoztató és oktatási célt szolgál, nem minősül befektetési, pénzügyi, adózási vagy jogi tanácsadásnak. A kriptovaluták és DeFi-protokollok rendkívül kockázatosak, árfolyamuk jelentősen ingadozhat, és akár teljes tőkevesztés is bekövetkezhet. Befektetési döntés előtt minden olvasónak saját kutatást kell végeznie, és szükség esetén független pénzügyi szakértővel kell konzultálnia.
Kulcsszavak: DeFi, DeFi hack, kriptovaluta, kriptopiac, blockchain biztonság, okosszerződés, cross-chain bridge, Ethereum, Bitcoin, KelpDAO, Drift Protocol, THORChain, LayerZero, social engineering, Észak-Korea kriptohack, mesterséges intelligencia, AI kripto, DeFi biztonság, kripto befektetés, Web3 biztonság
