CertiK: 2026-ban ettől retteghetnek leginkább a kriptokereskedők

A 2026-os kriptós támadásoknál egyre kevésbé az egyszerű hibák jelentik a fő veszélyt. A CertiK vezető blokklánc-nyomozója, Natalie Newson szerint az év legnagyobb veszteségeit inkább a valós idejű deepfake-ek, az adathalászat, az ellátási láncot érintő kompromittálások és a cross-chain rendszerek gyenge pontjai okozhatják. Ez azért fontos, mert ezek a támadások nem csak egy rosszul megírt smart contractot használnak ki, hanem a teljes működési környezetet támadják, az emberektől kezdve az infrastruktúrán át a külső szolgáltatókig.

Az idei számok már most is kemények. A CryptoNews által ismertetett CertiK-adatok szerint 2026-ban eddig több mint 600 millió dollár veszett el hackek miatt, és ebben döntő szerepe volt két, Észak-Koreához kötött áprilisi támadásnak. Az egyik a Kelp DAO közel 293 millió dolláros feltörése volt, ahol a probléma egy LayerZero-alapú cross-chain infrastruktúrához és egyetlen bizalmi ponthoz kapcsolódott. A másik a Drift Protocol elleni, nagyjából 280-285 millió dolláros támadás volt, amelyet több elemzőcég is valószínűsíthetően észak-koreai szereplőkhöz kötött.

A kép azért is romlik, mert a social engineering sokkal hitelesebbé vált. A Zerion április 15-én közölte, hogy észak-koreai kötődésű támadók AI-alapú, elnyújtott social engineering akcióval körülbelül 100 ezer dollárt emeltek le a cég hot walletjeiből. A felhasználói pénzekhez nem fértek hozzá, de az eset jól mutatja, hogy már nem csak technikai réseket keresnek, hanem embereket, folyamatokat és hitelesnek tűnő kommunikációs helyzeteket is. Ugyanezt erősítette az a másik áprilisi fejlemény is, amikor a Jinkusu néven ismert szereplő olyan deepfake-eszközöket árult, amelyek banki és kriptós KYC-folyamatok megkerülésére készültek.

Ezt olvastad már? Bitcoin árfolyam-előrejelzés: újabb tűzszünet, újabb BTC-rali?

Nem csak a kód a célpont, az egész rendszer támadás alatt áll

Nálunk a legfontosabb tanulság az, hogy a fenyegetés ma már sokkal szélesebb, mint egy klasszikus okosszerződéses bug. A CertiK 2025-ös éves jelentése szerint tavaly összesen 3,35 milliárd dollárnyi veszteséget regisztrált a Web3-szektorban, és a legdrágább támadási forma az ellátási lánc kompromittálása volt. Ez két incidensből önmagában 1,45 milliárd dolláros veszteséget hozott, benne a Bybit elleni, 1,447 milliárd dolláros támadással. Ugyanebben a jelentésben az is szerepel, hogy az adathalászat volt a leggyakoribb támadási vektor, 248 incidenst és több mint 722 millió dollárnyi veszteséget hozva.

A TRM Labs adatai ugyanezt a koncentrációt másik oldalról mutatják meg. A cég 2026-os bűnözési jelentése szerint 2025-ben az átlagos incidensméret 19,5 millió dollárra nőtt, miközben az öt legnagyobb esemény a teljes ellopott érték 70 százalékát adta. Ez azt jelenti, hogy a támadók nem feltétlenül több akcióval, hanem nagyobb, jobban szervezett műveletekkel okoznak egyre nagyobb károkat. Ilyen közegben a cross-chain rendszerek, a külső fejlesztői függőségek és a hitelesítési folyamatok különösen vonzó célponttá válnak.

A mesterséges intelligencia ebben a környezetben kétélű fegyver. Newson szerint a gyorsuló AI-fejlődés még meggyőzőbb deepfake-eket, autonóm támadóügynököket és olyan eszközöket hoz, amelyek képesek hibákat keresni, exploitkódot írni és gyorsabban végrehajtani a támadást. Közben viszont ugyanaz a technológia a védekezésben is fontos lehet, mert az automatizált elemzés, a fenyegetésészlelés és a biztonsági monitorozás egyre komolyabb szerepet kap. Vagyis a kérdés már nem az, hogy az AI része lesz-e a kriptós védelemnek, hanem az, hogy ki használja jobban.

Ez is érdekelhet: Kvantumpánik az XRP körül – érdemes aggódni?

A védelem nem látványos, de most ezen múlhat a pénz biztonsága

A CertiK üzenete itt meglepően egyszerű. Az alapvető óvatosság továbbra is számít. Ide tartozik a linkek és URL-ek ellenőrzése, a smart contractok hitelességének megerősítése, valamint az, hogy a ritkán mozgatott eszközök ne tőzsdén vagy folyamatosan online walletben üljenek. Newson külön kiemelte a cold wallet használatát is, mert ezzel a privát kulcsok nincsenek állandóan kitéve az online környezetnek. Ezek nem új tanácsok, csak most sokkal nagyobb a tétjük.

A szabályozói oldal is gyorsabban reagál. Az amerikai pénzügyminisztérium Office of Cybersecurity and Critical Infrastructure Protection nevű egysége április 9-én elindított egy új kezdeményezést. Ez kiberfenyegetési információmegosztást biztosít az arra jogosult amerikai digitáliseszköz-cégeknek és iparági szervezeteknek. A cél az, hogy ezek a vállalatok ugyanazokhoz a használható fenyegetési információkhoz férjenek hozzá, mint a hagyományos pénzügyi intézmények. Ez önmagában nem állítja meg a támadásokat, de jelzi, hogy a kriptós infrastruktúrát már rendszerszintű pénzügyi kockázatként is kezelik.

A végkövetkeztetés egyértelmű. A 2026-os nagy kriptós hackek nem pusztán kódhibákról szólnak majd, hanem bizalomról, identitásról, emberi hibákról és infrastruktúrákról. Aki még mindig úgy gondol a biztonságra, mint egy jelszó plusz egy 2FA-kód kérdésére, az lemaradt egy korszakváltásról. Nem attól kell megijedni, hogy a támadók ügyesebbek lettek. Attól kell észbe kapni, hogy már teljes rendszereket támadnak, és ebben az AI csak még erősebbé teszi őket.