April menjadi bulan yang sangat buruk bagi keamanan aset kripto. Data gabungan dari DefiLlama dan CertiK menunjukkan kerugian akibat peretasan menembus $651 juta, dengan sebagian kecil lain sekitar $3,5 juta berasal dari phishing.
Angka itu menjadi catatan bulanan tertinggi sejak 2022 dan memperlihatkan bahwa ancaman di industri ini sudah bergerak lebih jauh dari sekadar celah kode. Dua insiden besar di sektor DeFi, yakni Drift Protocol dan KelpDAO, menyumbang porsi terbesar dari kerugian tersebut.
Dua serangan terbesar menguras ratusan juta dolar
Kerugian paling besar datang dari Drift Protocol, yang diserang pada 1 April dengan nilai sekitar $285 juta. Sebagai DEX perpetual futures terbesar di Solana, platform ini kehilangan dana dari vault yang menyimpan JLP token, SOL, BTC, dan aset lain.
Menariknya, serangan pada Drift tidak terjadi karena kontraknya bocor. Audit independen sebelumnya sudah membersihkan kode, tetapi penyerang menjalankan kampanye social engineering selama enam bulan dan dikaitkan dengan Lazarus Group dari Korea Utara.
Mereka menyamar sebagai firma trading kuantitatif yang sah, membangun hubungan, lalu mengompromikan akun kontributor. Dari sana, pelaku memperoleh akses ke admin key dan infrastruktur cloud, sebelum lebih dari 50% TVL Drift lenyap dalam 12 menit.
TVL protokol itu turun dari sekitar $550 juta menjadi di bawah $250 juta. Insiden ini memperlihatkan bahwa keamanan teknis saja tidak cukup jika akses manusia dan sistem operasional ikut menjadi sasaran.
KelpDAO ikut jadi sasaran lewat celah di luar kode
Pada 18-19 April, KelpDAO menyusul dengan kerugian sekitar 116.500 rsETH senilai kurang lebih $292 juta. Serangan ini terjadi lewat LayerZero cross-chain bridge dan sejak awal juga dikaitkan dengan unit TraderTraitor milik Lazarus Group.
Pelaku memanfaatkan konfigurasi verifier 1-dari-1 yang menjadi titik gagal tunggal. Mereka mengompromikan RPC node yang dipakai verifier, melancarkan serangan DDoS pada node lain, lalu memalsukan pesan lintas rantai yang tampak seolah-olah berasal dari Unichain.
Teknik itu membuat bridge melepaskan dana dari escrow Ethereum. LayerZero kemudian menyebut telah memperingatkan Kelp soal konfigurasi single-verifier yang berisiko.
Dampaknya tidak berhenti di satu protokol. rsETH yang dicuri kemudian dipakai sebagai agunan di platform pinjaman seperti Aave untuk meminjam aset lain, dan serangan itu memicu lebih dari $10 miliar arus keluar dari protokol terhubung.
Serangan lain ikut memperbesar kerugian bulanan
Selain dua kasus besar itu, April juga dipenuhi insiden lain yang menambah tekanan pada industri. ZetaBridge rugi $8,1 juta akibat celah logika smart contract pada 3 April, sementara Grinex exchange kehilangan sekitar $13,7 juta USDT dari beberapa wallet pada 15 April.
Rhea Finance juga mencatat kerugian sekitar $7,6 juta karena kontrak token palsu. Di sisi lain, serangan yang lebih kecil seperti PulseVault sebesar $3,4 juta, AeroSwap sebesar $1,7 juta, dan NodeFi sebesar $2,3 juta ikut memperburuk total kerugian.
Banyak dari insiden itu melibatkan flash loan, manipulasi oracle, atau private key yang dikompromikan. Pola ini menunjukkan bahwa pelaku tidak hanya menyerang kode, tetapi juga alat, akses, dan proses operasional di belakangnya.
Pola ancaman makin bergeser
Peta serangan kripto kini tampak jauh berbeda dari masa awal yang didominasi reentrancy bug sederhana dan flash loan exploit. Kini, serangan lebih sering melibatkan advanced persistent threats atau APT yang dijalankan aktor negara, terutama Lazarus Group.
Metode yang digunakan mencakup pengintaian berbulan-bulan, social engineering, phishing berbantuan AI, deepfake, dan kompromi supply chain. Dalam kasus Drift, audit teknis tidak mampu mencegah serangan karena pelaku tidak membobol kode, melainkan manusia dan proses di sekitarnya.
KelpDAO memperlihatkan ancaman serupa di sisi off-chain. Infrastruktur yang dipercaya untuk cross-chain messaging berubah menjadi titik lemah ketika node dikompromikan dan diserang lewat DDoS.
Lazarus sendiri disebut telah mencuri miliaran dolar kripto selama bertahun-tahun untuk mendukung aktivitas rezim. Dana itu dicuci cepat melalui mixer, bridge, dan protokol terdesentralisasi, sehingga audit kode dan bug bounty saja tidak lagi memadai.
Dalam 18 hari pertama April, kerugian sudah melampaui $606 juta dari sedikitnya selusin insiden. Total theft year-to-date 2026 pun mendekati $772 juta, menandakan tekanan keamanan di industri crypto masih jauh dari reda.
