#DeFiLossesTop600MInApril

Gelombang terbaru eksploitasi DeFi pada April 2026 telah memicu kembali perdebatan sengit tentang "komposabilitas." Sementara kemampuan protokol untuk saling terhubung seperti balok Lego adalah kekuatan terbesar DeFi, hal ini secara efektif menciptakan permukaan serangan global di mana satu pelanggaran dapat memicu efek domino multi-rantai.

Angka untuk bulan April memang mencengangkan, terutama didorong oleh dua operasi canggih yang dikaitkan dengan aktor ancaman Korea Utara.

Dua Besar April

Kerugian gabungan dari kedua insiden ini saja mencapai lebih dari $570 juta, atau sekitar 76% dari seluruh nilai peretasan kripto hingga April 2026.

Kelp DAO ~$292M 18 April Kerusakan Infrastruktur: Penyerang menguasai node RPC untuk menyampaikan data palsu ke verifikasi jembatan, memicu pelepasan rsETH tanpa pembakaran nyata.

Drift Protocol ~$285M 1 April Rekayasa Sosial: Penyerang menghabiskan 6 bulan berpura-pura menjadi perusahaan kuantitatif untuk mendapatkan kepercayaan dan mengompromikan kunci admin, lalu memanipulasi nilai jaminan.

Remediasi: Intervensi Arbitrum

DAO Arbitrum telah mengambil langkah yang belum pernah terjadi sebelumnya setelah pelanggaran Kelp DAO.

DAO sedang melakukan voting (dengan dukungan hampir bulat) untuk melepas 30.765 ETH (sekitar $71 juta) yang berhasil "dibekukan" oleh Dewan Keamanan Arbitrum saat penyerang mencoba menjembatani aset tersebut.

Dana tersebut sedang dipindahkan ke dompet multi-sig yang dikelola oleh Kelp DAO, Aave Labs, dan etherfi.

ETH ini akan digunakan untuk membeli kembali dan membakar rsETH yang kurang jaminan agar memulihkan pegnya, yang pernah turun 20% di bawah nilai ETH.

Apakah Komposabilitas menjadi "Kerentanan Serangan"?

Kita melihat pergeseran dari "Kode adalah Hukum" ke "Pipa adalah Hukum." Eksploitasi modern bergerak menjauh dari bug kontrak pintar sederhana dan menuju jaringan penghubung ekosistem:

Serangan Drift di Solana melihat aset yang dicuri dijembatani ke Ethereum dalam waktu 12 menit, menunjukkan bagaimana kecepatan keluar adalah teman terbaik penyerang.

Saat protokol seperti Kelp DAO bergantung pada pesan eksternal, kegagalan di "penyedia layanan" pihak ketiga dapat membuat protokol yang seharusnya aman menjadi bangkrut.

Eksploitasi Drift bukanlah cacat kode; itu adalah "long con" selama 6 bulan terhadap orang-orang yang mengelola kode.

Sementara "DeFi Bersatu" (dana bantuan yang melibatkan Aave dan Mantle) dan intervensi DAO menunjukkan industri sedang mematangkan pertahanan mendalamnya, "komposabilitas" yang membuat DeFi efisien juga menyediakan jalan tanpa gesekan bagi dana curian untuk berpindah antar rantai lebih cepat daripada reaksi tata kelola manusia.