April 2026: Bulan Paling Sering Diretas untuk Kripto dengan Kerugian $635 Juta

April 2026 berakhir sebagai bulan dengan jumlah peretasan terbanyak dalam sejarah keuangan terdesentralisasi (DeFi). DefiLlama mengonfirmasi antara 28 hingga 30 eksploitasi terpisah, dengan total kerugian melebihi $625 juta — sebuah angka yang menurut pelacak lain mencapai $635,24 juta, total bulanan tertinggi sejak pembobolan bursa Bybit pada Februari 2025. Bulan ini mencatat rata-rata hampir satu serangan per hari, sebuah kecepatan yang jauh melampaui periode yang tercatat sebelumnya.

Dua Serangan, Satu Bulan, Skala Katastrofik

Kerusakan bulan ini didorong terutama oleh dua insiden besar. Pada 1 April, Drift Protocol di Solana kehilangan sekitar $285 juta dalam serangan rekayasa sosial (social engineering) yang dalam laporannya dikaitkan dengan Lazarus Group dari Korea Utara. Sekitar 18 April, KelpDAO mengalami eksploitasi pemalsuan pesan (message-spoofing) yang menargetkan jembatan lintas-rantai (cross-chain bridge) LayerZero, dengan estimasi kerugian mendekati $293 juta. Bersama-sama, kedua peristiwa ini menyumbang sebagian besar dari total kerugian di bulan April.

Peretasan Drift Protocol melibatkan persiapan selama tiga minggu sebelum serangan dan rekayasa sosial selama berbulan-bulan untuk mengompromikan penandatangan protokol, mengeksekusi pengurasan dana penuh dalam waktu sekitar 12 menit. Peretasan KelpDAO mengeksploitasi cacat desain verifikator tunggal pada jembatan LayerZero, di mana hasilnya kemudian dicuci melalui THORChain setelah dana sebesar $75 juta dibekukan di Arbitrum.

Insiden Lebih Kecil di Seluruh Ekosistem

Di luar dua eksploitasi utama tersebut, serangan yang tersisa memperkuat seberapa luas permukaan serangan yang telah terjadi di seluruh DeFi:

• Rhea Finance kehilangan $18,4 juta, Grinex $15 juta, Wasabi Protocol sekitar $5 juta, serta Volo Vault dan Sweat Foundation masing-masing sebesar $3,5 juta.
• Sebagian besar insiden kecil berkisar antara $50.000 hingga $3–5 juta, menyerang protokol peminjaman, bursa terdesentralisasi (DEX), dan solusi infrastruktur.
• Meskipun bug pada kode menjadi akar penyebab mayoritas peretasan, hal tersebut hanya menyumbang sekitar $42 juta — kira-kira 6,6% — dari total kerugian bulan April.

Peran Besar Korea Utara

Peretas Korea Utara, yang beroperasi melalui dua kelompok berbeda, mencuri sekitar $577 juta sepanjang tahun 2026 hingga saat ini — menyumbang 76% dari seluruh kerugian peretasan kripto hingga April, yang hanya berasal dari segelintir insiden yang dikaitkan. Baik serangan Drift maupun KelpDAO telah dikaitkan dengan klaster TraderTraitor, subkelompok dari Lazarus Group. Pelanggaran tersebut tidak disebabkan oleh bug kode atau intrusi siber yang agresif, melainkan hasil dari operasi berbulan-bulan yang menggabungkan rekayasa sosial dengan akses yang sebenarnya sah ke protokol.

Reaksi Pasar DeFi

Eksploitasi KelpDAO memicu penarikan dana massal secara cepat di seluruh keuangan terdesentralisasi, dengan lebih dari $14 miliar dalam nilai total terkunci (Total Value Locked/TVL) meninggalkan protokol DeFi dalam hitungan hari. Hal ini terkonsentrasi pada jembatan dan platform peminjaman seiring pengguna mengurangi paparan terhadap risiko lintas-rantai. Aave sendiri mengalami penurunan TVL dari $26,4 miliar menjadi mendekati $17,9 miliar setelah eksploitasi tersebut.

Konteks dan Prospek

Sebagai perbandingan, sepanjang kuartal pertama tahun 2026 mencatat kerugian sebesar $165,5 juta — total kerugian di bulan April saja mencapai 3,7 kali lebih besar dari gabungan Q1. Akumulasi kerugian peretasan DeFi kini telah melampaui $17 miliar selama satu dekade terakhir, dengan penyerang yang semakin beralih dari bug kontrak pintar (smart contract) ke arah kunci privat (private keys), infrastruktur penandatanganan, dan rekayasa sosial pada lapisan manusia. Peneliti keamanan telah menandai arsitektur jembatan lintas-rantai dan rekayasa sosial sebagai vektor dominan yang memerlukan perhatian mendesak memasuki Q2 2026.

Diterbitkan oleh Coinplurk.com