Peretasan kripto mencapai rekor tertinggi pada bulan April karena lebih dari 20 eksploitasi mengguncang DeFi

Peretas mencuri lebih dari $625 juta dari 20 hingga 30 serangan terpisah hanya dalam bulan April 2026. Itu hampir satu serangan setiap hari. DefiLlama memposting grafik di X yang menunjukkan bahwa April rata-rata hampir 1 serangan per hari, dibandingkan dengan catatan bulanan sebelumnya yang jarang melebihi 12 hingga 15 insiden.

Ini melebihi total semua kuartal sebelumnya, mendorong bulan tersebut menuju rekor tertinggi untuk pelanggaran keamanan.

Mengapa dua serangan menyebabkan hampir semua kerusakan?

Beberapa insiden berdampak tinggi mendefinisikan bulan tersebut. Pada 1 April 2026, Drift Protocol kehilangan $285 juta. Sebuah kelompok Korea Utara menghabiskan sekitar enam bulan membangun kepercayaan dengan karyawan Drift, hanya untuk mencuri dana dalam 12 menit menggunakan instruksi penarikan yang sudah ditandatangani sebelumnya.

Seperti yang dilaporkan sebelumnya oleh Cryptopolitan, KelpDAO mengikuti jejak tersebut pada 18 April, kehilangan $293 juta setelah penyerang menipu sistemnya agar melepaskan token tanpa dukungan nyata.

Kedua serangan berasal dari Korea Utara, tetapi menggunakan metode berbeda, menunjukkan tingkat kecanggihan yang belum siap dihadapi industri DeFi. Bersama-sama, kedua insiden ini saja menyumbang sebagian besar kerugian bulan April. Ini menunjukkan bagaimana sejumlah kecil serangan canggih dapat mengganggu sebagian besar ekosistem DeFi.

Mengapa satu peretasan membekukan miliaran uang yang tidak ada hubungannya dengan KelpDAO?

Kelompok di balik serangan KelpDAO menyetor token yang dicuri sebagai jaminan di Aave dan meminjam hampir $190 juta dalam Ethereum nyata terhadapnya

Aave sekarang memegang token yang tidak berharga sebagai jaminan untuk pinjaman nyata, dan deposit platform turun dari $26,4 miliar menjadi sekitar $17,9 miliar dalam waktu hanya 48 jam. Pool stablecoin di platform mencapai 100% utilisasi, dan menurut Galaxy Research, utang buruk Aave meningkat menjadi antara $123,7 juta dan $230 juta.

Lebih dari $13 miliar keluar dari protokol DeFi dalam beberapa hari setelah serangan karena pengguna panik dan mulai menarik dana. Platform seperti Morpho, Spark, Lido, Yearn, Beefy, dan Ethereum sendiri membekukan operasi tertentu karena arus keluar besar-besaran saat kepercayaan di seluruh industri runtuh.

Tidak satu pun dari ini menjelaskan kerusakan kolateral yang terlihat di seluruh TVL, kepercayaan pengguna, valuasi, dan moral ruang ini. DeFi tetap menjadi pasar niche sampai risiko dapat dihargai dengan benar.” Analis DeFi, seperti dikutip oleh BeInCrypto.

Siapa yang bertanggung jawab, dan berapa banyak yang mereka curi secara total?

Menurut TRM Labs, unit peretasan yang didukung pemerintah di Korea Utara bertanggung jawab atas 75% dari semua kerugian peretasan kripto hingga April 2026 ($577 juta dari total $759 juta).

Seperti yang didokumentasikan oleh PBB, Departemen Keuangan AS, dan beberapa perusahaan intelijen blockchain, Korea Utara mencuri kripto untuk membiayai pemerintah dan program senjatanya karena sanksi internasional yang berat. TRM Labs melaporkan bahwa Korea Utara mencuri lebih dari $6 miliar dalam kripto sejak 2017.

“Apa yang kita saksikan bukanlah kampanye Korea Utara yang lebih luas — melainkan yang lebih tajam,” kata Ari Redbord, Kepala Kebijakan dan Urusan Pemerintah di TRMLabs. “Korea Utara bergerak lebih cepat dan lebih tepat dari sebelumnya.”

Apa yang terjadi di sisa bulan April, selain dua serangan besar tersebut?

Rhea Finance kehilangan $18,4 juta pada 10 April. Tether membekukan $3,29 juta dari dana tersebut tepat waktu, tetapi penyerang menggunakan pinjaman kilat untuk memanipulasi harga dan menguras sisa dana tersebut.

Demikian pula, bursa kripto di Kyrgyzstan, Grinex, kehilangan $13,74 juta dalam USDT pada 15 April setelah peretas membagi dana tersebut ke 54 dompet dan mengonversinya ke SunSwap agar sulit dilacak. Hyperbridge juga kehilangan $2,5 juta di jaringan Polkadot, dan CoW Swap kehilangan $1,2 juta pada 14 April.

Analis onchain Wazz memposting di X pada 29 April, mengatakan, “Ratusan dompet (banyak di antaranya tidak aktif selama lebih dari 7 tahun) baru saja dikuras oleh alamat yang sama di ETH mainnet.” Dia menambahkan, “Sepertinya ada eksploitasi langsung baru, layak untuk diperhatikan.”

Namun, itu belum berakhir, karena Wasabi Protocol kehilangan sekitar $5 juta pada hari terakhir April setelah seorang penyerang menggunakan kunci penyebaran yang dikompromikan untuk mengeksploitasi sistem.

Apakah DeFi menjadi lebih aman atau lebih berbahaya?

Keduanya, tergantung bagaimana Anda melihatnya. Misalnya, waktu respons setelah serangan telah sangat meningkat selama bertahun-tahun, karena lebih dari 14 organisasi menjanjikan lebih dari $300 juta untuk dana penyelamatan DeFi United setelah insiden KelpDAO.

Dewan Keamanan Arbitrum bahkan membekukan dana sebesar $71 juta dari penyerang menggunakan kekuasaan darurat, sesuatu yang sebelumnya tidak pernah memungkinkan beberapa tahun lalu

Namun, serangan juga berkembang lebih cepat daripada pertahanan dapat mengimbangi, karena dua insiden terbesar bulan April mengeksploitasi manipulasi manusia. Bertahun-tahun yang lalu, sebagian besar peretasan mengeksploitasi bug dalam kontrak pintar.

Jika kerugian terus berlanjut dengan tingkat yang sama, dengan jumlah peretasan yang sama, industri mungkin kehilangan sekitar $7,5 miliar dalam beberapa bulan mendatang. Itu 3 kali lipat dari kerugian di tahun 2024.

Jangan hanya membaca berita crypto. Pahami itu. Berlangganan newsletter kami. Gratis.