April telah melihat lebih dari $600m yang dicuri di seluruh DeFi, jembatan, dan dompet, mengubah keamanan dari kekhawatiran tingkat protokol menjadi premi risiko pasar yang sepenuhnya nyata.

Ringkasan

• Protokol kripto telah kehilangan lebih dari $600m karena peretasan di bulan April, dipimpin oleh $292m yang dicuri dari KelpDAO dan $285m dari Drift Protocol.
• Eksploitasi kini melintasi kontrak pintar, infrastruktur, dan serangan rekayasa sosial, termasuk kampanye berbasis AI terhadap dompet seperti Zerion.
• Antara pukul 11:00 dan 13:00 UTC, nama-nama DeFi berkapitalisasi menengah mengalami penjualan panik seperti capitulation karena pasar derivatif memperhitungkan “premi risiko keamanan” yang terus-menerus.

Data agregat terbaru menunjukkan bahwa protokol kripto telah kehilangan lebih dari $606m karena peretasan dalam 18 hari pertama April, menjadikannya bulan terburuk untuk eksploitasi sejak Februari 2025 dan mendorong total tahun 2026 di atas $770 juta. Menurut data dari DefiLlama, setidaknya 13 protokol telah dikompromikan bulan ini, dengan KelpDAO dan Drift Protocol saja menyumbang sekitar 95% dari kerugian April dan sekitar 75% dari total tahun 2026.

KelpDAO, sebuah protokol staking likuid Ethereum, mengalami serangan pada 18 April yang menguras sekitar 116.500 rsETH, bernilai sekitar $292 juta, setelah penyerang memalsukan pesan lintas rantai untuk menipu kontrak jembatan LayerZero EndpointV2 agar melepaskan cadangan. Drift, bursa perpetual terdesentralisasi terbesar di Solana, diserang pada 1 April dalam apa yang media regional sebut sebagai eksploitasi “canggih,” kehilangan sekitar $285m dalam apa yang kini menjadi pelanggaran keamanan terbesar kedua dalam sejarah Solana setelah peretasan $326m Wormhole pada 2022.

Dari bug kontrak hingga rekayasa sosial berbasis AI

Gelombang terbaru peretasan ini tidak terbatas pada bug kontrak pintar atau primitives staking ulang. Insiden telah menimpa lapisan routing dan infrastruktur seperti Hyperbridge serta penyedia front-end dan DevOps seperti Vercel, di mana penyerang mengakses sistem internal dan diduga menjual data curian untuk $2m guna mendukung “serangan rantai pasokan global.”

Di sisi manusia, penyedia dompet Zerion mengungkapkan bahwa mereka menjadi target oleh peretas Korea Utara yang menggunakan kampanye rekayasa sosial berbasis AI jangka panjang untuk mengompromikan kunci dompet panas, mencuri sekitar $100.000 sambil meninggalkan dana pengguna dan infrastruktur inti utuh. Aliansi Keamanan (SEAL) telah mengidentifikasi setidaknya 164 domain berbahaya yang terkait dengan kelompok yang terhubung DPRK UNC1069, menggambarkan buku panduannya sebagai didefinisikan oleh “kesabaran, ketepatan, dan penggunaan secara sengaja dari kepercayaan yang ada sebagai senjata.”

Data industri dari episode sebelumnya, seperti eksploitasi dompet panas di bursa berbasis Singapura Phemex pada 2025, telah menyoroti kecenderungan aktor yang terhubung DPRK untuk dengan cepat mengonversi USDT dan USDC yang dicuri menjadi ETH untuk menghindari daftar hitam, sebuah pola yang menurut otoritas terus berlanjut di 2026.

Struktur pasar bereaksi secara real-time saat peretasan bulan April menumpuk. Antara pukul 11:00 dan 13:00 UTC di hari-hari berita utama, buku pesanan di nama-nama DeFi berkapitalisasi menengah yang lebih lemah menunjukkan tanda-tanda “capitulation” klasik: penurunan satu sesi sekitar 5–8%, tawaran tipis, dan rotasi yang terlihat ke protokol dengan catatan keamanan yang lebih bersih. Tempat derivatif melihat pendanaan keranjang untuk DeFi sedikit negatif sementara likuiditas spot mengering, jenis konfigurasi yang diasosiasikan oleh meja perdagangan dengan “pajak keamanan” luas terhadap aset risiko daripada guncangan idiosinkratik yang terisolasi.

Bagi trader, itu telah mengubah keamanan menjadi faktor eksplisit: mengurangi eksposur beta DeFi yang leverage pada headline eksploitasi, tetap panjang di venue terpusat dan infrastruktur yang memonetisasi volatilitas, serta menyimpan cadangan kas untuk penjual paksa setelah utang buruk dan penurunan nilai diakui secara penuh di rantai.