Pada April 2026, bidang DeFi mengalami krisis kepercayaan terburuk dalam beberapa tahun terakhir. Menurut statistik dari institusi seperti CertiK, kerugian keamanan akibat serangan hacker, eksploitasi kerentanan, dan lain-lain pada bulan tersebut mencapai sekitar 635 juta hingga 651 juta dolar AS, meningkat lebih dari sepuluh kali lipat dari 59,5 juta dolar AS pada bulan Maret, dan mencatat kerugian bulanan tertinggi sejak Maret 2022. Lebih mengkhawatirkan lagi, selama bulan tersebut terjadi 31 insiden serangan independen, hampir satu kali setiap hari, baik dari segi jumlah kerugian maupun frekuensi serangan, keduanya memecahkan rekor dalam sejarah DeFi.

Dua kasus besar yang berada di pusat badai ini—KelpDAO dan Drift Protocol—mengambil alih lebih dari 90% aset yang dicuri bulan itu. KelpDAO dieksploitasi karena kerentanan pada validator tunggal di jembatan lintas rantai, penyerang melewati mekanisme keamanan dan menciptakan token rsETH senilai 292 juta dolar AS secara palsu, lalu menjaminkan token tersebut di platform pinjaman seperti Aave untuk meminjam Ethereum asli. Operasi ini tidak hanya membuat Aave menghadapi potensi kerugian buruk hampir 200 juta dolar AS, tetapi juga memicu penarikan dana lebih dari 8 miliar dolar AS dari platform tersebut dalam waktu 24 jam, dengan TVL turun sekitar 32%. Insiden Drift Protocol yang mengikuti juga sangat mengkhawatirkan: penyerang melalui infiltrasi intel selama enam bulan akhirnya mencuri kunci administrator dan mentransfer sekitar 285 juta dolar AS aset. Kedua kasus ini diduga terkait dengan Lazarus Group yang berbasis di Korea Utara, dan karakteristik perilaku di blockchain dari organisasi ini sangat konsisten dalam rangkaian serangan tersebut.
Krisis keamanan ini bukanlah kebetulan, melainkan puncak dari pola pengembangan DeFi yang berfokus pada efisiensi jangka panjang. Secara mendasar, hal ini mengungkapkan tiga tingkat risiko sistemik: Pertama, mekanisme verifikasi jembatan lintas rantai memiliki cacat fatal, arsitektur validator tunggal menempatkan jutaan dolar pada satu kunci privat, dan insiden jembatan Ronin pada 2022 telah memperingatkan risiko serupa namun diabaikan secara kolektif oleh industri. Kedua, rekayasa sosial dan serangan yang berlangsung lama menjadi ancaman utama baru, metode serangan beralih dari kerentanan kode murni ke infiltrasi gabungan terhadap hak akses dan proses. Ketiga, kemampuan komposabilitas DeFi memperbesar keuntungan sekaligus memperbesar risiko—celah di satu protokol dapat dengan cepat menyebar melalui rantai jaminan dan menyebabkan dampak multi-protokol.
Reaksi berantai di pasar juga sangat intens. Seluruh sektor DeFi mengalami penarikan sekitar 13 miliar dolar AS dari TVL dalam waktu singkat, simpanan di Aave turun 38%, dan token AAVE merosot 15%-21%. Dana secara jelas berpindah dari protokol berisiko tinggi ke platform pinjaman yang lebih matang atau solusi custodial terpusat. Dampak yang lebih dalam adalah tergoyahnya kepercayaan institusional: JPMorgan secara tegas menyatakan bahwa kerentanan keamanan yang terus berlanjut dan stagnasi pertumbuhan TVL secara serius mengurangi daya tarik DeFi bagi institusi. Sementara itu, Standard Chartered tetap optimistis terhadap prospek jangka panjang pasar RWA, tetapi mengakui bahwa peningkatan risiko lintas rantai secara struktural harus menjadi prasyarat.