Mengapa DeFi Kehilangan $13 Miliar dalam 48 Jam dan Apa yang Terjadi Selanjutnya

Angka-angkanya sangat mengejutkan. Hanya dalam 18 hari, 12 eksploitasi terpisah menguras $606 juta dari protokol DeFi. Dua insiden menyumbang 95% dari total kerugian: peretasan Drift Protocol di Solana ($285 juta, 1 April) dan eksploitasi bridge Kelp DAO di Ethereum ($292 juta, 18 April). Keduanya mewakili 75% dari seluruh kripto yang dicuri pada tahun 2026.

Namun kerugian langsung hanya menceritakan sebagian dari kisah ini. Krisis sebenarnya adalah efek penularan: $8,45 miliar mengalir keluar dari Aave dalam 48 jam, DeFi TVL turun 25% dari titik tertinggi Januari sebesar $110 miliar ke sekitar $82 miliar, dan istilah "DeFi is dead" menjadi tren di media sosial kripto selama tiga hari berturut-turut.

Artikel ini menguraikan apa yang terjadi, mengapa hal itu terjadi, dan apa yang akan terjadi selanjutnya.

Serangan Drift Protocol: Rekayasa Sosial Bertemu DeFi

Pada 1 April, penyerang menguras $285 juta dari Drift Protocol, DEX perpetual futures terbesar di Solana dengan TVL sebesar $550 juta. Serangan ini membutuhkan waktu 12 menit untuk dieksekusi, tetapi tiga minggu untuk dipersiapkan.

Metode yang digunakan bukan bug smart contract. Penyerang menyamar sebagai perusahaan trading kuantitatif, membangun kepercayaan dengan anggota Security Council Drift selama berminggu-minggu. Mereka mengeksploitasi fitur "durable nonces" Solana, yang memungkinkan transaksi ditandatangani terlebih dahulu untuk eksekusi di kemudian hari, menipu penandatangan yang sah agar mengotorisasi transaksi tidak aktif yang nantinya akan digunakan untuk menyerang protokol.

Setelah mendapat kendali, penyerang memasukkan token palsu yang tidak bernilai sebagai kolateral, menyetorkan 500 juta unit token tersebut, dan menarik $285 juta dalam bentuk USDC, SOL, dan ETH. Efek penularan menyebar ke lebih dari 20 protokol Solana. Carrot Protocol menghentikan sementara fungsi mint dan redeem setelah kehilangan 50% TVL-nya. Pyra Protocol menonaktifkan penarikan sepenuhnya.

Firma analitik blockchain Elliptic mengaitkan serangan tersebut dengan aktor yang berafiliasi dengan DPRK, konsisten dengan pola eksploitasi yang disponsori negara yang semakin meningkat sepanjang 2025 dan 2026.

Eksploitasi Kelp DAO: Ketika Satu Verifikator Mengendalikan $292 Juta

Tujuh belas hari kemudian, pada 18 April, bridge Kelp DAO dieksploitasi senilai $292 juta dalam jenis serangan yang secara fundamental berbeda, yang mengungkap kelemahan sistemik dalam arsitektur bridge lintas rantai.

Pada pukul 17:35 UTC, penyerang mencetak 116.500 rsETH di Ethereum mainnet, sekitar 18% dari pasokan beredar Kelp DAO, senilai sekitar $292 juta. Token tersebut tidak memiliki jaminan. Pesan LayerZero palsu lolos karena bridge tersebut mengandalkan satu Decentralized Verifier Network (DVN) tunggal untuk memvalidasi transfer lintas rantai.

Penyerang membobol infrastruktur verifikator tunggal tersebut, meracuni server yang digunakan untuk memeriksa transaksi. Tanpa lapisan verifikasi kedua, bridge menerima pesan palsu tersebut sebagai sah dan melepaskan rsETH tanpa jaminan ke Ethereum.

Saling tuduh yang terjadi setelahnya mengungkap kebenaran yang tidak nyaman tentang infrastruktur DeFi. LayerZero menunjuk pada pilihan konfigurasi Kelp. Kelp merespons bahwa panduan quickstart dan template GitHub default milik LayerZero sendiri mengarahkan pengembang ke pengaturan 1-of-1. Keduanya sebagian benar: default-nya tidak aman, dan Kelp tidak mengubahnya.

LayerZero kemudian mengumumkan bahwa mereka tidak akan lagi menandatangani pesan untuk aplikasi yang menjalankan konfigurasi verifikator tunggal, memaksa migrasi seluruh protokol ke pengaturan multi-DVN (2/3, 3/5, atau serupa).

Efek Penularan: Bagaimana $292 Juta Menjadi $13 Miliar

Eksploitasi Kelp DAO tidak berhenti di $292 juta. Karena rsETH banyak digunakan sebagai kolateral di seluruh DeFi, token tanpa jaminan tersebut memicu kegagalan berantai di berbagai protokol.

Aave menanggung dampak sekunder terberat. Protokol lending tersebut membekukan pasar rsETH-nya, tetapi para deposan sudah mulai menarik dana sebelumnya. Dalam 48 jam, $8,45 miliar deposit keluar dari Aave, menurunkan TVL-nya dari $26,4 miliar menjadi $17,9 miliar. Aave sendiri menghadapi estimasi kerugian hingga $230 juta dalam potensi utang buruk jika rsETH tetap tanpa jaminan.

Mekanismenya adalah penularan klasik. rsETH digunakan sebagai kolateral di puluhan protokol. Ketika jaminannya hilang, setiap protokol yang menerimanya sebagai kolateral menghadapi potensi utang buruk. Respons rasional bagi deposan adalah menarik dana, bahkan dari protokol yang tidak memiliki eksposur langsung, karena interkoneksinya sulit dinilai secara real-time.

Hasilnya: total DeFi TVL turun ke sekitar $82,4 miliar, level terendah dalam setahun dan penurunan 25% dari $110 miliar di awal 2026. Indeks Fear and Greed turun ke 27.

Polanya: Bridge sebagai Risiko Sistemik

Eksploitasi April sesuai dengan pola yang sudah mapan. Bridge lintas rantai secara konsisten menjadi permukaan serangan DeFi yang paling berbahaya:

Serangan Kelp DAO memiliki akar penyebab yang sama dengan hampir setiap eksploitasi bridge besar: satu titik kegagalan dalam proses verifikasi. Baik itu multisig yang dibobol (Ronin), pemeriksaan validasi yang hilang (Wormhole), atau DVN tunggal (Kelp), polanya tetap sama. Keamanan bridge bergantung pada redundansi verifikasi, dan protokol berulang kali diluncurkan dengan redundansi yang tidak memadai.

Peretas yang disponsori negara Korea Utara kini telah mencuri sekitar $577 juta dari kripto pada April 2026 saja, melalui serangan Drift dan Kelp DAO. Kecanggihan serangan ini terus meningkat: pendekatan rekayasa sosial Drift dan kompromi infrastruktur Kelp keduanya membutuhkan persiapan berminggu-minggu dan pengetahuan teknis yang mendalam.

Apa yang Terjadi Selanjutnya: Standar Keamanan dan Pemulihan

Respons industri lebih cepat dibandingkan siklus sebelumnya. Beberapa perubahan konkret sudah berjalan.

Kebijakan wajib multi-DVN dari LayerZero menghilangkan mode kegagalan yang paling jelas. Dengan menolak menandatangani pesan untuk pengaturan verifikator 1-of-1, LayerZero memaksa 40% integrator yang saat ini menjalankan konfigurasi tidak aman untuk melakukan upgrade. Ini adalah perubahan paling berdampak, meskipun tidak mencegah semua vektor serangan.

Proposal governance Aave menangani risiko struktural dari liquid restaking token (LRT) sebagai kolateral. Insiden ini mengungkap bahwa protokol lending DeFi memiliki parameter risiko yang tidak memadai untuk aset LRT yang nilainya bergantung pada integritas bridge eksternal.

Pemantauan real-time semakin membaik. Firma keamanan on-chain seperti Blockaid dan Chainalysis menerbitkan analisis teknis pasca-insiden dalam hitungan jam, dan beberapa protokol mengimplementasikan pemutus sirkuit otomatis yang aktif sebelum intervensi manual diperlukan.

Tekanan regulasi semakin meningkat. Kerugian April menambah urgensi seruan untuk audit keamanan DeFi yang diwajibkan. Kerangka kerja SEC-CFTC yang ditetapkan pada Maret 2026 sudah menyediakan fondasi yurisdiksi, dan insiden Kelp DAO memberikan contoh konkret kepada regulator tentang mengapa standar keamanan itu penting.

Prospek Pemulihan

Data historis memberikan dasar untuk optimisme. Setelah peretasan Wormhole pada 2022, DeFi TVL turun sekitar 15% sebelum pulih 80% dari kerugian dalam waktu satu bulan. Pembacaan Fear and Greed saat ini di angka 27 menunjukkan sentimen yang lebih rapuh, yang bisa memperpanjang pemulihan melampaui jendela waktu empat hingga enam minggu yang biasa.

Beberapa faktor mendukung pemulihan pada akhirnya. Kontrak restaking yang mendasari insiden Kelp DAO tidak gagal. Delegasi EigenLayer tetap utuh. rsETH mainnet masih dijamin oleh deposit yang sah. Masalahnya ada pada bridge, bukan pada protokol restaking itu sendiri.

Metrik kunci yang perlu dipantau adalah resolusi governance Aave. Jika protokol berhasil mengelola potensi utang buruk tanpa peristiwa likuidasi yang tidak teratur, kepercayaan seharusnya pulih. Jika diperlukan tindakan darurat atau terjadi kerugian lebih lanjut, efek penularan bisa semakin dalam.

Yang Harus Diperhatikan Investor

Bagi investor yang menavigasi dampak ini, tiga sinyal yang paling penting:

Audit konfigurasi bridge. Pantau protokol mana yang telah bermigrasi ke pengaturan multi-DVN. Data ini dapat diverifikasi secara publik di on-chain. Protokol yang bergerak cepat menunjukkan budaya keamanan yang kuat.

Hasil governance Aave. Penanganan komunitas terhadap utang buruk rsETH menetapkan preseden bagaimana protokol DeFi dengan pendapatan nyata mengelola peristiwa black swan.

Stabilisasi TVL. Ketika arus keluar bersih dari protokol lending utama berhenti, fase yang didorong ketakutan telah berakhir. Data DeFi TVL mingguan dari DefiLlama adalah sinyal yang paling bersih.

Kerugian langsung sebesar $606 juta sangat menyakitkan. Penarikan $13 miliar yang didorong ketakutan lebih menyakitkan lagi. Tetapi perubahan struktural, yaitu bridge multi-verifikator yang diwajibkan, parameter risiko kolateral yang lebih baik, dan pemantauan real-time, merupakan kemajuan yang nyata. Infrastruktur DeFi sedang diuji tekanannya, dan protokol yang bertahan akan menjadi lebih kuat karenanya.

Disclaimer: Artikel ini hanya untuk tujuan informasi dan bukan merupakan nasihat keuangan. Investasi cryptocurrency memiliki risiko yang signifikan. Selalu lakukan riset Anda sendiri dan berkonsultasilah dengan penasihat keuangan yang berkualifikasi sebelum membuat keputusan investasi.