April berubah menjadi bulan yang keras bagi industri kripto. Kerugian akibat peretasan menembus $651 juta dan menjadi rekor bulanan tertinggi sejak 2022, dengan dua serangan besar di sektor DeFi menyumbang porsi paling besar dari total itu.
Lonjakan kerugian tersebut menunjukkan bahwa ancaman di dunia kripto kini tidak berhenti pada celah teknis. Serangan yang muncul justru makin rapi, menyasar akses, proses operasional, dan titik lemah yang sering luput dari perhatian.
Dua serangan terbesar menguasai kerugian April
Porsi terbesar datang dari Drift Protocol dan KelpDAO. Keduanya menjadi pusat perhatian karena nilai dana yang hilang jauh melampaui insiden lain sepanjang bulan itu.
Drift Protocol mengalami serangan pada 1 April dengan kerugian sekitar $285 juta. Sebagai DEX perpetual futures terbesar di Solana, platform ini kehilangan dana dari vault yang menyimpan JLP token, SOL, BTC, dan aset lain.
Yang membuat kasus ini menonjol, serangan terhadap Drift tidak memanfaatkan celah kode. Audit independen sebelumnya disebut telah membersihkan kontrak, tetapi penyerang menjalankan kampanye social engineering selama enam bulan yang dikaitkan dengan Lazarus Group dari Korea Utara.
Mereka menyamar sebagai firma trading kuantitatif yang sah. Setelah membangun hubungan, para pelaku mengompromikan akun kontributor, lalu memperoleh akses ke admin key dan infrastruktur cloud.
Dalam hitungan 12 menit, lebih dari 50% TVL Drift hilang. TVL protokol itu turun dari sekitar $550 juta menjadi di bawah $250 juta.
KelpDAO jadi serangan besar berikutnya
KelpDAO menyusul dengan kerugian sekitar 116.500 rsETH senilai kurang lebih $292 juta pada 18-19 April. Insiden ini terjadi lewat LayerZero cross-chain bridge dan pada tahap awal kembali dikaitkan dengan unit TraderTraitor milik Lazarus Group.
Serangan itu memanfaatkan titik gagal tunggal pada konfigurasi verifier 1-dari-1. Penyerang mengompromikan RPC node yang dipakai verifier, lalu melancarkan serangan DDoS pada node lain agar jalur pengamanan terganggu.
Setelah itu, pesan lintas rantai dipalsukan seolah-olah berasal dari Unichain. Trik tersebut membuat bridge melepaskan dana dari escrow Ethereum.
LayerZero kemudian menyebut telah memperingatkan Kelp soal konfigurasi single-verifier yang berisiko. Dampaknya juga tidak berhenti pada satu protokol, karena rsETH yang dicuri kemudian dipakai sebagai agunan di platform pinjaman seperti Aave untuk meminjam aset lain.
Insiden kecil ikut menumpuk tekanan
Selain dua kasus besar itu, April juga dipenuhi serangan lain yang ikut memperbesar total kerugian. ZetaBridge rugi $8,1 juta akibat celah logika smart contract pada 3 April, sedangkan Grinex exchange kehilangan sekitar $13,7 juta USDT dari beberapa wallet pada 15 April.
Rhea Finance juga mencatat kerugian sekitar $7,6 juta karena kontrak token palsu. Di sisi lain, PulseVault kehilangan $3,4 juta, AeroSwap kehilangan $1,7 juta, dan NodeFi kehilangan $2,3 juta.
Banyak dari insiden tersebut melibatkan flash loan, manipulasi oracle, atau private key yang dikompromikan. Pola ini memperlihatkan bahwa pelaku tidak hanya menyerang kode, tetapi juga alat, akses, dan proses operasional di belakangnya.
Pola ancaman makin bergeser
Peretasan crypto pada 2026 tampak semakin jauh dari era awal yang didominasi reentrancy bug sederhana dan flash loan exploit. Kini, serangan lebih sering melibatkan advanced persistent threats atau APT yang dijalankan aktor negara, terutama Lazarus Group.
Metode yang dipakai mencakup pengintaian berbulan-bulan, social engineering, phishing berbantuan AI, deepfake, dan kompromi supply chain. Dalam kasus Drift, audit teknis tidak cukup karena penyerang tidak membobol kode, melainkan manusia dan proses di sekelilingnya.
KelpDAO menunjukkan ancaman serupa di sisi off-chain. Infrastruktur yang dipercaya untuk cross-chain messaging berubah menjadi single point of failure ketika node dikompromikan dan diserang lewat DDoS.
Lazarus sendiri disebut telah mencuri miliaran dolar kripto selama bertahun-tahun untuk mendukung aktivitas rezim. Dana itu kemudian dicuci cepat melalui mixer, bridge, dan protokol terdesentralisasi, sehingga audit kode dan bug bounty saja tidak lagi memadai.
Dalam 18 hari pertama April, kerugian sudah melampaui $606 juta dari sedikitnya selusin insiden. Total theft year-to-date 2026 pun mendekati $772 juta, menandakan tekanan keamanan di industri kripto masih jauh dari reda.
