Saya telah memantau situasi keamanan DeFi berkembang tahun ini dan jujur saja tampaknya cukup suram. Kita bahkan belum setengah jalan tahun 2026 dan angka-angkanya sudah mencengangkan - lebih dari $137 juta dicuri dari 15 protokol berbeda hanya dalam beberapa bulan pertama. Yang lebih buruk? Hanya $9 juta yang berhasil dipulihkan. Itu tingkat pemulihan yang tidak akan diterima kebanyakan orang di bank tradisional, apalagi di industri yang seharusnya tanpa kepercayaan dan transparan.

Kerusakan tersebar di beberapa nama besar. Step Finance mengalami kerugian terbesar sebesar $27,3 juta setelah kunci pribadi dikompromikan. Truebit tidak jauh di belakang dengan kehilangan $26,2 juta akibat kerentanan kontrak pintar. Kemudian ada Resolv yang kehilangan lebih dari $25 juta melalui cacat pencetakan, dan SwapNet merugi $13,4 juta melalui eksploit panggilan sewenang-wenang. Ini bukan proyek kecil yang mengalami kerusakan - ini adalah protokol yang benar-benar digunakan orang.

Yang membuat frustrasi adalah bahwa sebagian besar serangan ini seharusnya tidak terjadi. Kebocoran kunci pribadi? Itu adalah keamanan operasional 101, bukan eksploit canggih. Manipulasi oracle dan bug reentrancy? Kerentanan tersebut sudah memiliki pertahanan yang terdokumentasi selama bertahun-tahun. Faktanya mereka terus bekerja menunjukkan industri tidak belajar dari kesalahan mereka cukup cepat. Ada cacat logika, kegagalan validasi, masalah batas pasokan - hal-hal yang telah diperingatkan oleh peneliti keamanan sejak awal mula DeFi.

YieldBlox DAO bahkan berhasil memulihkan $7,2 juta dari kerugian $11 juta mereka, satu-satunya protokol yang berhasil mendapatkan kembali sesuatu yang berarti. Semua yang lain dalam daftar - SagaEVM sebesar $7 juta, Makina sebesar $5 juta, IoTeX sebesar $4,4 juta, Aperture Finance dan Venus Protocol masing-masing sebesar $3,7 juta - mereka pada dasarnya tidak beruntung.

Jika kecepatan ini berlanjut, tahun 2026 bisa menjadi salah satu tahun terburuk untuk keamanan DeFi dalam catatan. Protokol baru terus diluncurkan tanpa audit yang memadai, memperluas permukaan serangan lebih cepat dari yang bisa dipertahankan siapa pun. Dengan kerugian sebesar $137 juta hanya dalam tiga bulan dan tingkat pemulihan 6,5%, sulit untuk membuktikan bahwa infrastruktur keamanan industri ini sudah berada di tempat yang seharusnya. Untuk sesuatu yang dibangun atas janji sistem tanpa kepercayaan, itu posisi yang cukup tidak nyaman untuk dihadapi.