#DeFiLossesTop600MInApril

April 2026 sekarang menjadi bulan terburuk dalam catatan untuk pelanggaran keamanan DeFi. CertiK melacak 29 insiden dengan total kerugian sebesar $651 juta — dan dua eksploitasi besar saja menyumbang 93% dari kerusakan tersebut.

Dua serangan besar yang katastrofik:

Drift Protocol (Solana) — $285M (1 April): Kelompok Lazarus menghabiskan 6 bulan membangun kepercayaan dengan tim Drift — pertemuan langsung di beberapa negara, lebih dari $1M dalam setoran nyata — lalu menipu penandatangan multisig untuk menyetujui otorisasi tersembunyi dan menguras $285M dalam 12 menit. Dana dipindahkan ke Ethereum dalam beberapa jam. Eksploitasi terbesar kedua dalam sejarah Solana.

Kelp DAO (Ethereum/LayerZero) — $293M (18 April): Seorang penyerang mengirim pesan lintas rantai palsu ke jembatan LayerZero Kelp DAO pada pukul 17:35 UTC, menipu sistem agar melepaskan 116.500 rsETH (~18% dari total pasokan token yang beredar). RsETH yang dicuri kemudian disetor sebagai jaminan di Aave v3, meminjam sejumlah besar wETH — meninggalkan Aave dengan $195M dalam utang buruk, crash token AAVE sebesar 18%, dan ~$8B dalam aliran keluar TVL.

Rincian berdasarkan vektor serangan (data CertiK):

Vektor Kerugian

Komplikasi dompet $611M

Manipulasi harga $18,8 juta

Kerentanan kode $16,9 juta

Phishing $3,5 juta

Kontrak tidak terverifikasi $8,5 juta

Serangan front-end $544K

Dampak sistemik:

~$14B dalam aliran keluar TVL DeFi di seluruh protokol

TVL Aave turun sekitar $8B dalam 24 jam; token AAVE turun dari $112 menjadi $89,5

Aave membekukan pasar rsETH di v3 dan v4

Dewan Keamanan Arbitrum membekukan ~$71M dalam ETH terkait peretasan Kelp DAO

Operator Korea Utara (Kelompok Lazarus) sekarang menyumbang 76% dari semua pencurian kripto di 2026 (TRM Labs)

Sisi positif — dana pemulihan "DeFi United": Kampanye pemulihan yang diorganisasi Aave ini telah mengumpulkan lebih dari $302M — cukup untuk menutupi sepenuhnya eksploitasi Kelp DAO. Kontribusi termasuk Aave DAO (25.000 ETH), Lido DAO (2.500 ETH), dan komitmen dari Kelp DAO serta LayerZero sendiri.

Tapi ada twist baru: Penyelidik on-chain ZachXBT menuduh firma hukum AS Gerstein Harrow LLP mengajukan klaim penipuan untuk menyita dana KelpDAO yang dibekukan $71M , memanfaatkan putusan pengadilan 2015 terhadap Korea Utara untuk memprioritaskan klien mereka di atas korban peretasan 2026 yang sebenarnya. ZachXBT mengusulkan DAO komunitas untuk melawan firma tersebut secara hukum.

Pelajaran keamanan untuk pengguna DeFi:

Verifikasi tata kelola multisig — migrasi tanpa waktu kunci adalah kerentanan fatal

Audit implementasi jembatan lintas rantai secara ketat (verifikasi pesan LayerZero sangat penting)

Diversifikasi jaminan — jangan konsentrasikan kepemilikan dalam token staking ulang tunggal

Pantau kemampuan pembekuan/jeda protokol — respons cepat menyelamatkan ~$80M dalam upaya lanjutan Kelp DAO

Gunakan dompet perangkat keras dan strategi dompet hot/dingin terpisah untuk posisi besar

Postingan ini baru dibagikan — belum ada suka atau komentar. Jadilah yang pertama berpartisipasi dan membantu menyebarkan kesadaran. Keamanan DeFi adalah tanggung jawab semua orang.

@Gate_Square