April menjadi bulan yang keras bagi industri kripto setelah kerugian akibat peretasan menembus $651 juta. Angka itu menjadi yang tertinggi secara bulanan sejak 2022 dan menegaskan bahwa ancaman di sektor ini sudah bergerak jauh dari sekadar salah kode.
Yang paling menonjol bukan hanya besarnya nilai yang hilang, tetapi juga cara serangannya berjalan. Dua insiden besar di ranah DeFi, yakni pada Drift Protocol dan KelpDAO, menyumbang porsi terbesar dari total kerugian dan memperlihatkan bahwa titik lemah industri kini sering berada di luar kontrak pintar itu sendiri.
Serangan yang tidak berhenti di kode
Drift Protocol menjadi korban terbesar dengan kerugian sekitar $285 juta pada 1 April. Sebagai DEX perpetual futures terbesar di Solana, platform itu kehilangan dana dari vault yang menyimpan JLP token, SOL, BTC, dan aset lain.
Kasus ini menarik perhatian karena penyerang tidak membobol kode secara langsung. Audit independen sebelumnya disebut telah membersihkan kontrak, tetapi pelaku menjalankan kampanye social engineering selama enam bulan yang dikaitkan dengan Lazarus Group dari Korea Utara.
Dalam skema itu, mereka menyamar sebagai firma trading kuantitatif yang sah. Setelah membangun hubungan, mereka mengompromikan akun kontributor dan akhirnya memperoleh akses ke admin key serta infrastruktur cloud.
Dampaknya datang sangat cepat. Dalam 12 menit, lebih dari 50% TVL Drift lenyap, dan posisi total dana terkunci protokol tersebut turun dari sekitar $550 juta menjadi di bawah $250 juta.
Jalur lintas rantai yang jadi celah
Pukulan besar berikutnya datang dari KelpDAO dengan kerugian sekitar 116.500 rsETH senilai kurang lebih $292 juta pada 18-19 April. Insiden ini terjadi lewat LayerZero cross-chain bridge dan sejak awal juga dikaitkan dengan unit TraderTraitor milik Lazarus Group.
Serangan tersebut memanfaatkan konfigurasi verifier 1-dari-1 yang menyisakan titik gagal tunggal. Penyerang mengompromikan RPC node yang dipakai verifier, lalu melancarkan serangan DDoS pada node lain agar pesan palsu lebih mudah lolos.
Mereka kemudian memalsukan pesan lintas rantai yang tampak seolah-olah berasal dari Unichain. Cara itu membuat bridge melepaskan dana dari escrow Ethereum, dan LayerZero kemudian menyebut telah memperingatkan Kelp soal risiko pada konfigurasi single-verifier tersebut.
Efeknya tidak berhenti di satu protokol. rsETH yang dicuri kemudian dipakai sebagai agunan di platform pinjaman seperti Aave untuk meminjam aset lain, dan serangan itu memicu lebih dari $10 miliar arus keluar dari protokol terhubung.
Kerugian lain ikut menumpuk
Selain dua kasus terbesar itu, April juga diwarnai sederet insiden lain yang memperbesar total kerugian. ZetaBridge rugi $8,1 juta akibat celah logika smart contract pada 3 April, sedangkan Grinex exchange kehilangan sekitar $13,7 juta USDT dari beberapa wallet pada 15 April.
Rhea Finance juga mencatat kerugian sekitar $7,6 juta karena kontrak token palsu. Di sisi lain, insiden yang lebih kecil seperti PulseVault sebesar $3,4 juta, AeroSwap sebesar $1,7 juta, dan NodeFi sebesar $2,3 juta ikut menambah tekanan pada total bulanan.
Banyak dari insiden itu melibatkan flash loan, manipulasi oracle, atau private key yang dikompromikan. Polanya menunjukkan bahwa pelaku tidak hanya menyerang kode, tetapi juga akses, alat, dan proses operasional di belakangnya.
Pergeseran ancaman di industri kripto
Pola peretasan kripto kini terlihat makin jauh dari fase awal yang banyak dipenuhi reentrancy bug sederhana dan flash loan exploit. Serangan yang muncul lebih sering menyeret advanced persistent threats atau APT yang dijalankan aktor negara, terutama Lazarus Group.
Metode yang dipakai juga makin berlapis. Pengintaian berbulan-bulan, social engineering, phishing berbantuan AI, deepfake, dan kompromi supply chain menjadi bagian dari pola serangan yang lebih terorganisir.
Kasus Drift menunjukkan bahwa audit teknis saja tidak cukup ketika penyerang menyasar manusia dan proses di sekeliling sistem. Sementara itu, KelpDAO memperlihatkan bahwa infrastruktur yang dipercaya untuk komunikasi lintas rantai bisa berubah menjadi titik lemah ketika node penghubung berhasil dikompromikan.
Lazarus sendiri disebut telah mencuri miliaran dolar kripto selama bertahun-tahun untuk mendukung aktivitas rezim. Dana hasil curian itu kemudian dicuci cepat melalui mixer, bridge, dan protokol terdesentralisasi, sehingga perlindungan berbasis audit kode dan bug bounty saja tidak lagi memadai.
Dalam 18 hari pertama April, kerugian sudah melampaui $606 juta dari sedikitnya selusin insiden. Total theft year-to-date 2026 pun mendekati $772 juta, menandakan tekanan keamanan di industri kripto masih jauh dari reda.
