Pada April 2026, bidang DeFi mengalami krisis kepercayaan terburuk dalam beberapa tahun terakhir. Menurut statistik dari institusi seperti CertiK, kerugian keamanan akibat serangan hacker, eksploitasi kerentanan, dan lain-lain pada bulan tersebut mencapai sekitar 634 juta hingga 651 juta dolar AS, meningkat lebih dari sepuluh kali lipat dari 59,5 juta dolar AS pada bulan Maret, dan mencatat kerugian bulanan tertinggi sejak Maret 2022. Lebih mengkhawatirkan lagi, selama bulan tersebut terjadi 31 insiden serangan independen, hampir satu kali setiap hari, baik dari segi jumlah kerugian maupun frekuensi serangan, keduanya memecahkan rekor dalam sejarah DeFi.

Dua kasus besar yang berada di pusat badai ini—KelpDAO dan Drift Protocol—menghancurkan lebih dari 90% aset yang dicuri pada bulan tersebut. KelpDAO diserang melalui kerentanan pada validator tunggal di jembatan lintas rantai, di mana penyerang melewati mekanisme keamanan dan menciptakan token rsETH senilai 292 juta dolar AS secara palsu, lalu menggunakan token tersebut sebagai jaminan di platform pinjaman seperti Aave untuk meminjam Ether asli. Operasi ini tidak hanya membuat Aave menghadapi potensi kerugian buruk hampir 200 juta dolar AS, tetapi juga memicu penarikan dana lebih dari 8 miliar dolar AS dari platform tersebut dalam waktu 24 jam, dengan TVL turun sekitar 32%. Insiden Drift Protocol yang mengikuti juga sangat mengkhawatirkan: penyerang melalui infiltrasi intel selama enam bulan akhirnya mencuri kunci administrator dan memindahkan sekitar 285 juta dolar AS aset. Kedua kasus ini diduga terkait dengan kelompok Lazarus yang berbasis di Korea Utara, yang menunjukkan pola perilaku di blockchain yang sangat konsisten dalam rangkaian serangan ini.

Gelombang krisis keamanan ini bukanlah kebetulan, melainkan puncak dari model pengembangan DeFi yang berfokus pada efisiensi dalam jangka panjang. Secara mendasar, hal ini mengungkapkan tiga tingkat risiko sistemik: Pertama, mekanisme verifikasi jembatan lintas rantai memiliki cacat fatal, di mana arsitektur validator tunggal menempatkan jutaan dana pada satu kunci privat, padahal insiden jembatan Ronin pada 2022 sudah memperingatkan risiko serupa namun diabaikan secara kolektif oleh industri. Kedua, rekayasa sosial dan serangan yang berlangsung lama menjadi ancaman utama baru, di mana metode serangan beralih dari kerentanan kode murni ke infiltrasi yang melibatkan hak akses dan proses. Ketiga, kemampuan komposabilitas DeFi yang memperbesar potensi keuntungan juga memperbesar risiko—celah di satu protokol dapat dengan cepat menyebar melalui rantai jaminan dan menyebabkan dampak berantai multi-protokol.

Reaksi berantai di pasar juga sangat intens. Seluruh sektor DeFi mengalami penarikan sekitar 13 miliar dolar AS dari TVL dalam waktu singkat, simpanan di Aave turun 38%, dan token AAVE merosot antara 15% hingga 21%. Dana secara jelas mengalir dari protokol berisiko tinggi ke platform pinjaman yang lebih matang atau solusi custodial terpusat. Dampak yang lebih jauh adalah tergoyangnya kepercayaan institusional: JPMorgan secara tegas menyatakan bahwa kerentanan keamanan yang terus berlanjut dan stagnasi pertumbuhan TVL secara serius menekan daya tarik DeFi bagi institusi. Sementara itu, Standard Chartered tetap optimistis terhadap prospek jangka panjang pasar RWA, tetapi mengakui bahwa peningkatan risiko lintas rantai harus menjadi prasyarat utama untuk upgrade struktural.