Pelajaran dari 280M dolar! Panduan menghindari jebakan keamanan DeFi tahun 2026

null

Penulis: Zero Time Technology

Pendahuluan

Seiring dengan perkembangan DeFi yang cepat, “keuangan terdesentralisasi” telah berubah dari mainan para geek yang hanya diminati segelintir orang menjadi lahan panas yang dikejar oleh orang biasa untuk mendapatkan imbal hasil tinggi. Staking mining, liquidity mining, pinjam-meminjam untuk menghasilkan bunga… Berbagai macam cara bermain bermunculan tanpa henti, dengan imbal hasil tahunan yang bisa mencapai puluhan hingga bahkan ratusan persen, membuat orang sulit untuk tidak tergoda.

Namun, di sisi lain dari imbal hasil selalu ada risiko. Pada 1 April 2026, DEX Drift Protocol—DEX kontrak perpetual terdepan di ekosistem Solana—mengalami serangan besar, dengan nilai kerugian sekitar 220 juta hingga 285 juta dolar AS, menjadikannya peristiwa peretasan DeFi terbesar pada 2026 sejauh ini.

Insiden ini kembali membunyikan alarm: di dunia DeFi, tidak ada layanan pelanggan yang bisa membantu Anda menarik kembali dana, tidak ada bank yang menjadi penjamin Anda. Setiap kali berinteraksi, Anda sendirilah yang sepenuhnya bertanggung jawab atas aset Anda.

Untuk membantu semua orang menghindari risiko, tim keamanan Zero Time Technology menggabungkan kasus serangan yang nyata dan merangkum 5 pemeriksaan keamanan kunci yang harus diselesaikan sebelum terjun ke DeFi, agar Anda dapat mengenali risiko sebelum melakukan tindakan, dan menjaga batas bawah keselamatan aset.

Bagaimana risiko DeFi terjadi?

Banyak orang mengira serangan peretasan terlalu jauh dari diri mereka, tetapi kenyataannya adalah: sebagian besar kerugian aset terjadi dalam “tindakan normal” pengguna.

Anda tidak melakukan sesuatu yang sangat salah, hanya saja Anda lengah pada satu tahap tertentu. Berikut empat jalur risiko yang paling umum:

1. Otorisasi yang tidak tepat → aset dipindahkan

Anda mengklik “Approve” sekali, memberi kontrak izin tak terbatas untuk menggunakan aset di dompet Anda. Begitu kontrak berbuat jahat atau kena peretasan, aset langsung dikosongkan dalam sekejap.

2. Mengunjungi situs phishing → dompet Anda diambil alih

Anda mencari sebuah proyek, lalu membuka tautan iklan paling atas; halaman tersebut persis seperti situs resminya. Setelah Anda menghubungkan dompet, phrase mnemonic atau tanda tangan Anda telah diretas oleh pelaku.

3. Celah kontrak → dana dicuri secara “sah”

Proyeknya sendiri resmi, tetapi kodenya memiliki celah. Peretas memanfaatkan celah untuk melewati batasan, lalu mengambil dana dari brankas protokol—dan aset Anda juga ada di dalamnya.

4. Proyek Rug Pull → likuiditas dikuras habis

Dari awal, pihak proyek adalah penipu. Saat dana Anda sudah tersimpan cukup banyak, mereka langsung menarik koin dari liquidity pool, dan token seketika bernilai nol.

Setelah Anda memahami dari mana risiko itu berasal, lihat 5 pemeriksaan di bawah ini, dan Anda akan tahu di bagian mana setiap “pisau” benar-benar memotong.

✅ Pemeriksaan 1: Keamanan Kontrak — Open source + audit adalah batas minimum

Banyak orang asetnya dicuri, bukan karena kemampuan teknis peretas yang terlalu tinggi, tetapi karena kontrak proyek itu sendiri “beracun”.

⚠️ Yang perlu Anda lakukan bukan “percaya pada proyek”, melainkan:

• Apakah kode dibuka (open source): lihat apakah kontraknya “Verified” di block explorer (seperti Etherscan, Solscan). Kontrak yang tidak open source sama artinya menyembunyikan aturannya dalam kotak hitam—jangan disentuh.

• Apakah sudah diaudit: buka situs resmi lembaga audit seperti CertiK, PeckShield, SlowMist, cari nama proyeknya, pastikan ada laporan audit yang nyata, dan celah berisiko tinggi sudah diperbaiki.

• Apakah ada riwayat celah: masukkan alamat kontrak ke platform pihak ketiga seperti DeFi Safety, RugDoc untuk melihat skor keamanan dan catatan risiko sebelumnya.

🚩 Sinyal risiko tinggi:

• Kontrak tidak open source

• Tidak ada laporan audit pihak ketiga, atau hanya “self-audit”

• Kontrak baru dideploy beberapa hari lalu langsung diluncurkan

🔗 Tips: Di halaman “Contract” pada block explorer, jika Anda melihat “Source Code Not Verified”, langsung tutup halaman.

✅ Pemeriksaan 2: Manajemen Otorisasi — Jangan biarkan kontrak “menarik tanpa batas”

Banyak orang asetnya dicuri, bukan karena diretas, melainkan karena mereka memberi otorisasi kepada kontrak yang seharusnya tidak diberi izin. Anda mengklik “Approve” sekali, itu berarti Anda memberi kontrak sebuah kunci—jika kunci itu adalah “kunci universal”, maka kontrak bisa membuka pintu untuk semua aset sejenis di dompet Anda kapan saja.

⚠️ Fokus pemeriksaan

• Apakah meminta “infinite authorization”: pada pop-up otorisasi, jumlahnya ditampilkan sebagai unlimited atau nilai maksimum uint256. Ini berarti kontrak dapat memindahkan aset Anda berkali-kali tanpa batas, tidak dibatasi oleh jumlah yang Anda setorkan.

• Apakah alamat kontrak itu asing: periksa dengan cermat alamat kontrak penerima otorisasi, apakah sama dengan alamat yang dipublikasikan resmi oleh proyek. Selisih satu huruf pun bisa berarti phishing.

👉 Saran

• Utamakan “otorisasi minimal”: setiap kali mengotorisasi, ubah manual jumlahnya menjadi kuantitas yang diperlukan untuk transaksi kali ini. Misalnya, jika hanya menyetor 0.1 ETH, tetapkan batas otorisasi menjadi 0.1 ETH. Dompet Rabby dan versi khusus MetaMask sudah mendukung fitur ini.

• Bersihkan otorisasi secara berkala: akses revoke.cash atau etherscan.io/tokenapprovalchecker, lihat kontrak mana saja yang sudah Anda izinkan; jika ada yang mencurigakan atau tidak Anda kenal, batalin satu kali klik.

Tampilan contoh situs revoke.cash. Otorisasi “Unlimited” di dalam lingkaran sebaiknya dicabut tepat waktu.

✅ Pemeriksaan 3: Pintu masuk resmi — Situs phishing lebih mengerikan daripada hacker

Menurut statistik, lebih dari 60% kerugian aset DeFi berasal dari serangan phishing, bukan dari celah kontrak.

⚠️ Pola yang umum

• Meniru situs resmi: nama domain hanya berbeda satu huruf (misalnya uniswap.com vs uniswao.com), halamannya disalin sepenuhnya.

• Halaman fake airdrop: dipromosikan di Twitter, Discord “klaim airdrop XX gratis”; setelah menghubungkan dompet, aset diotorisasi untuk dipindahkan oleh hacker.

• Keracunan iklan mesin pencari: mencari “Uniswap”, iklan pertama mungkin adalah situs phishing, dan nama domain sangat mirip dengan resmi.

👉 Saran

• Masuk hanya lewat kanal resmi: ambil tautan situs resmi dari Twitter resmi proyek, pengumuman Discord, dan repositori GitHub; jangan percaya iklan mesin pencari.

• Simpan bookmark situs DeFi yang sering digunakan: tambahkan situs resmi protokol yang sering Anda pakai ke bookmark browser, lalu masuk setiap kali dari bookmark.

• Jangan klik tautan asing: tautan apa pun yang dikirim siapa pun (termasuk teman grup, pesan pribadi) harus dicurigai terlebih dahulu.

🔗 Tips: Instal plugin dompet seperti Rabby atau versi MetaMask yang dilengkapi deteksi phishing; plugin ini akan secara otomatis memblokir domain phishing yang sudah dikenal.

✅ Pemeriksaan 4: Imbal hasil yang tidak normal — di balik imbal hasil tinggi pasti terselip risiko tinggi

Menurut statistik, lebih dari 60% kerugian aset DeFi berasal dari serangan phishing, bukan dari celah kontrak.

Jika sebuah proyek:

• Imbal hasil tahunan jauh lebih tinggi dari rata-rata pasar (misalnya APY stablecoin melebihi 20%)

• Menekankan “arbitrase bebas risiko”, “pasti untung tanpa rugi”

• Mendorong “ikut lebih cepat, masuk lebih cepat”, menciptakan emosi FOMO (takut ketinggalan)

Maka pada dasarnya dapat disimpulkan: risiko ≈ janji imbal hasil × 10 kali

Banyak proyek Rug Pull memanfaatkan “imbal hasil tinggi” untuk menarik likuiditas. Imbal hasil awal mereka mungkin berasal dari pokok (modal) pengguna baru (model Ponzi); begitu arus dana baru melambat, pihak proyek langsung menarik likuiditas dan kabur.

👉 Saran

• Bandingkan dengan patokan pasar: APY stablecoin dari protokol DeFi arus utama (seperti Aave, Compound) biasanya berada di kisaran 2% - 8%. Jika lebih tinggi dari 3 kali ambang tersebut, sangat waspada.

• Cek usia proyek: yang baru diluncurkan beberapa hari lalu langsung menawarkan imbal hasil sangat tinggi, kemungkinan besar itu “kotak madu”.

• Cari nama proyek + scam / rug: gunakan Google atau Twitter untuk mencari, lihat apakah ada laporan dari pengguna.

🚩 Prinsip satu kalimat: jika itu terdengar terlalu bagus untuk menjadi nyata, maka kemungkinan besar itu palsu.

✅ Pemeriksaan 5: Isolasi aset — jangan menaruh semua telur di satu keranjang dompet

Banyak pengguna hanya punya satu dompet utama, dan semua aset, semua interaksi DeFi, serta semua mint NFT dilakukan di dompet ini. Jika dompet ini terkena phishing, diotorisasi ke kontrak jahat, atau kunci privat bocor, semua aset bisa langsung nol dalam satu kali kejadian.

Sebaiknya bangun sistem “tiga dompet”:

⚠️ Intinya adalah: kendalikan risiko pada satu titik, hindari “rugi total sekali kejadian”

• Untuk ikut proyek baru atau protokol yang belum terverifikasi, gunakan selalu dompet sementara, setorkan dana dengan ambang minimum untuk uji coba.

• Bersihkan otorisasi pada dompet utama secara berkala (sekali setiap minggu atau sebulan).

• Aset inti simpan di cold wallet; jangan pernah menandatangani, tidak pernah mengotorisasi, dan tidak pernah menghubungkan ke situs mana pun.

Lebih menakutkan daripada hacker adalah “orang dalam”

Selain serangan dari luar, ada jenis risiko lain yang sering diabaikan—orang dalam berbuat jahat. Mereka bisa developer, operasional, bahkan layanan pelanggan.

⚠️ Dari mana datangnya orang dalam?

• Developer atau auditor menyisipkan backdoor: developer dan auditor memiliki izin untuk melakukan commit dan akses ke sistem. Jika salah satu di antaranya berbuat jahat, ia bisa menyisipkan backdoor, mencuri kunci sensitif, dan menyamarkannya sebagai aktivitas pengembangan normal sehingga sulit terdeteksi.

• Pengelola izin utama melakukan penggelapan: orang yang memegang kunci privat administrator, jika berbuat curang, semua aset pengguna bisa dikosongkan sekaligus.

• Karyawan menggunakan izin jabatan untuk mencuri informasi pengguna: pada Februari 2026, seorang insinyur jaringan berusia 34 tahun di sebuah perusahaan investasi mata uang kripto di Hong Kong, memanfaatkan akses sistem atas pekerjaannya untuk masuk ke database perusahaan tanpa otorisasi, mencuri sekitar 2,67 juta token USDT (sekitar 20,87 juta HKD) dari kira-kira 20 pelanggan. Karyawan tersebut telah bekerja di perusahaan selama 4 tahun, bertanggung jawab untuk pengembangan dan pemeliharaan APP—tepat “izin yang sah” inilah yang memungkinkannya melakukan pencurian.

👉 Bagaimana cara mencegah?

• Pengguna individu: pilih protokol yang memiliki “time lock” (operasi besar harus ditunda 24-48 jam sebelum dijalankan), dan periksa apakah pengelola multi-sign dari pihak proyek bersifat terbuka dan transparan.

• Pihak proyek: izin inti harus dikelola dengan multi-sign wallet, atur buffer time lock, dan audit rutin atas log akses internal.

Mengapa Anda “sudah sangat hati-hati”, tetap saja bisa kena?

Karena serangan sudah beralih dari “celah teknis” ke “celah sisi manusia”.

⚠️ Kesalahan psikologis yang umum

• “Proyek ini lagi sangat populer, pasti tidak masalah”

• “Semua orang menggunakannya, tidak akan ada apa-apa”

• “Saya hanya melakukan sekali, tidak mungkin kebetulan seperti itu”

👉 Faktanya: penyerang hanya perlu Anda melakukan satu kali kesalahan

⚠️ Tren baru: Serangan AI + phishing

• Halaman situs resmi yang dipalsukan dengan sangat meyakinkan

• Obrolan dengan layanan pelanggan yang dihasilkan otomatis

• Penempatan iklan yang sangat tepat menargetkan pengguna sasaran

👉 Pengguna semakin sulit membedakan yang asli dan yang palsu

Satu set prinsip keamanan DeFi yang paling sederhana

Jika Anda tidak bisa mengingat semua pemeriksaan, ingat saja 3 poin ini👇

• Jangan sembarangan memberikan otorisasi

• Jangan klik tautan asing

• Jangan All in ke satu proyek

🔑 Ringkasan satu kalimat: Risiko DeFi bukan ada pada kode yang tidak Anda pahami, melainkan pada setiap tindakan yang Anda abaikan.

Penutup

DeFi menghadirkan keterbukaan dan kebebasan, sekaligus membawa tantangan keamanan yang benar-benar baru. Dari peristiwa Drift Protocol hingga serangan phishing harian, risikonya sudah lama berubah dari “insiden ekstrem” menjadi “ancaman yang menjadi kebiasaan”.

Menghadapi lingkungan on-chain yang kompleks, yang benar-benar melindungi aset bukanlah keberuntungan, melainkan kemampuan kognitif dan kebiasaan.

Jika Anda memiliki keraguan tentang proyek DeFi yang sedang Anda gunakan saat ini, disarankan untuk melakukan pemeriksaan keamanan secepatnya.

👉 Di dunia on-chain, keamanan bukan tambahan, melainkan syarat ambang masuk.