TL;DR
- DeFi-sektoren har registrert tap på over 600 millioner dollar så langt i 2026
- Kelp DAO ble utsatt for et exploit som sendte sektorens totale verdilåste kapital (TVL) til laveste nivå på tolv måneder
- Angrepsvektorene skifter: sosial manipulasjon og phishing tar over der ren kodesvakhet tidligere dominerte
- Verken sikkerhetsrevisjoner eller bug bounty-programmer alene er tilstrekkelig beskyttelse
Kelp DAO-angrepet setter ny kurs for TVL
Et alvorlig sikkerhetsbrudd mot DeFi-protokollen Kelp DAO har i april 2026 bidratt til at sektorens samlede TVL har falt til det laveste punktet på ett år. Angrepet kommer i en periode der DeFi-tap allerede har hopet seg opp til over 600 millioner dollar siden nyttår, ifølge CryptoNews.
Kelp DAO er et restaking-protokoll som lar brukere låse inn likvide staking-tokens for å generere avkastning. Selve detaljenesrundt exploit-mekanismen er foreløpig ikke fullt ut bekreftet av uavhengige granskere, og ytterligere tekniske detaljer bør behandles med forsiktighet inntil en grundig post-mortem foreligger.
Tapene akselererer i 2026
Bakgrunnen for hendelsen er dyster: kryptoindustrien som helhet hadde allerede ved utgangen av april 2025 akkumulert tap på 1,74 milliarder dollar — fire ganger mer enn i samme periode ett år tidligere, ifølge forskningsdata. Tendensen ser ikke ut til å snu.
Spesielt bekymringsfullt er skiftet i angrepsmønstre. Mens kodebaserte smartkontrakt-exploit falt med hele 89 prosent år over år i første kvartal 2026, stod phishing og sosial manipulasjon for rundt 306 millioner dollar i tap i samme periode — nesten to tredjedeler av totalen, ifølge sikkerhetsforskningsdata.
Revisjonene er ikke nok
Sikkerhetsbransjen for DeFi har vokst kraftig. Markedet for smartkontrakt-sikkerhet ble estimert til rundt 467 millioner dollar i 2024, med en forventet årlig vekstrate på nær 25 prosent frem mot 2033. Likevel viser tallene at revisjoner ikke er noen garanti.
Analyser av over 8 000 revisjonsrapporter fra perioden 2020 til 2023 fant liten evidens for at revisjoner i seg selv reduserer antallet vellykkede angrep i etterkant. En sentral svakhet er at revisjoner er øyeblikksbilder — de fanger ikke opp endringer i kode, governance eller administrasjonsnøkler som innføres etter at rapporten er levert.
Bug bounty: løpende, men ikke universalt
Bug bounty-programmer, der etiske hackere belønnes for å avdekke sårbarheter, fremstår som et viktig supplement. Plattformen Immunefi oppgir å ha utbetalt over 116 millioner dollar til sikkerhetsforskere siden oppstarten i desember 2020, og beskytter per i dag over 330 prosjekter som til sammen forvalter 190 milliarder dollar i TVL.
Modellen med skalerende belønninger — der utbetalingen knyttes til en prosentandel av de potensielle tapene et sikkerhetshull kan forårsake — er ifølge Immunefi-sjef Mitchell Amador ment å gjøre etisk avsløring mer lønnsomt enn faktisk utnyttelse av sårbarhetene. I første halvdel av 2025 ble det registrert over 8 500 hvit-hatt-avsløringer på slike plattformer.
Likevel er det verdt å merke seg at bug bounty-dekning varierer kraftig mellom protokoller, og ikke alle prosjekter tilbyr konkurransedyktige programmer.
Hva bør protokoller gjøre nå?
Sikkerhetseksperter er tydelige på at ingen enkelt mekanisme er tilstrekkelig i det nåværende trusselbildet. Anbefalingene peker mot en lagdelt tilnærming: hyppige og grundige koderevisjoner, aktive bug bounty-programmer med meningsfull belønningsstruktur, sanntidsovervåking av transaksjoner og et skjerpet fokus på operasjonell sikkerhet — særlig rundt private nøkler og interne rutiner.
For Kelp DAO og andre protokoller som nylig har vært utsatt for angrep, gjenstår det å se hvilke konkrete tiltak som iverksettes. Investorer og brukere følger nøye med på hvordan sektoren håndterer en serie hendelser som nå presser TVL ned til nivåer som ikke er sett på over ett år.
Kilder: CryptoNews, sikkerhetsforskningsdata om DeFi-revisjoner og bug bounty-programmer (2020–2026)
