Insiden Keamanan

Turunan DeFi Wasabi Protocol 4/30 mengalami kebocoran kunci privat administrator, pelaku mendapatkan ADMIN_ROLE melalui Deployer EOA, lalu mengganti perp vaults dan LongPool dengan versi berbahaya melalui mekanisme upgrade UUPS untuk melakukan penarikan langsung. CertiK memperkirakan kerugian sekitar 2,9 juta dolar AS, yang berdampak pada mainnet Ethereum dan Base; Wasabi telah mengumumkan penghentian interaksi, dan Virtuals Protocol juga membekukan margin jaminan terkait Wasabi. Kejadian ini menyoroti risiko keamanan kunci privat hulu terhadap ekosistem hilir.

Menurut BlockBeats, WasabiCard mengeluarkan pernyataan keamanan pada 30 April untuk menjelaskan bahwa platform tersebut tidak memiliki afiliasi dengan Wasabi Protocol, Wasabi Wallet, atau proyek serta institusi terkait. Platform ini bermitra dengan Safeheron untuk layanan dompet kustodian dan bekerja sama dengan auditor keamanan

Menurut Departemen Kehakiman AS, satuan tugas global yang dipimpin FBI menangkap 276 tersangka dan mengganggu sembilan pusat penipuan kripto pada Rabu. Polisi Dubai menangkap 275 orang, dengan tiga orang didakwa di California atas dakwaan penipuan kawat dan pencucian uang. Otoritas Thailand menangkap satu tersangka

Menurut BlockSec Phalcon, pada 30 April, Wasabi Protocol mengalami serangkaian transaksi abnormal di seluruh jaringan Ethereum dan Base, dengan total arus dana anomali mencapai sekitar $5,15 juta. Pelacakan awal mengungkapkan bahwa akun yang didanai Tornado Cash kemudian diberikan AD

Menurut Sui Foundation dan pengembang Scallop, protokol pinjaman Scallop di jaringan Sui mengalami eksploitasi keamanan terarah pada 28 April 2026, yang mengakibatkan pengurasan tidak sah sekitar 150.000 token SUI dari kumpulan likuiditas rewards, senilai sekitar 140.000 dolar AS.

Menurut DefiLlama, peretasan DeFi dan infrastruktur on-chain menyebabkan kerugian senilai 624,58 juta dolar AS pada April 2026, menjadi kerugian bulanan terbesar keenam yang tercatat. 23 insiden yang dicatat pada bulan itu juga merupakan jumlah serangan tertinggi dalam satu bulan sejak pelacakan dimulai pada

Protokol SWEAT berhasil menahan eksploitasi bernilai jutaan dolar pada Rabu sekitar pukul 13.36 UTC, dengan tim mengonfirmasi bahwa semua saldo akun eksternal telah sepenuhnya dipulihkan dan operasional kembali normal, menurut ringkasan pasca-hack yang dibagikan tim SWEAT pada

Menurut SlowMist (SlowMist) Chief Information Security Officer 23pds, pada 30 April, ia memposting di X bahwa ada celah logika bernama “Copy Fail” (CVE-2026-31431) di sistem operasi Linux, yang sangat mudah dieksploitasi; SlowMist menyarankan pengguna untuk segera melakukan upgrade kernel.

Berdasarkan analisis teknis insiden serangan yang dirilis GoPlus pada 30 April serta pernyataan resmi Aftermath Finance, platform kontrak berjangka berkelanjutan Aftermath Finance di jaringan Sui diserang pada 29 April, dengan kerugian lebih dari 1,14 juta dolar AS. Pihak proyek mengumumkan, dengan dukungan dari Mysten Labs dan Sui Foundation, semua pengguna akan menerima kompensasi penuh.

Menurut PANews, Aftermath Finance, sebuah platform perpetual futures di blockchain Sui, kehilangan lebih dari $1,14 juta dalam sebuah serangan pada 29 April. Analisis GoPlus mengungkap bahwa penyerang mengeksploitasi kerentanan ketidakcocokan simbol dalam fungsi calculate_taker_fees dengan mencuri hak istimewa ADMIN melalui fungsi add_integrator_config untuk secara berulang mengekstrak token. Afthermath Finance mengonfirmasi total kerugian dan menyatakan bahwa semua pengguna akan menerima kompensasi penuh dengan dukungan dari Mysten Labs dan Sui Foundation. Tim menekankan bahwa ini bukan masalah keamanan bahasa kontrak Move.

Berdasarkan laporan pasca-insiden yang dipublikasikan setelah terjadinya serangan terhadap protokol SWEAT, dana pengguna yang dicuri dalam insiden peretasan yang terjadi pada hari Rabu telah sepenuhnya dipulihkan, dan operasional protokol telah kembali normal. Perusahaan keamanan kripto Blockaid memperkirakan penyerang mencuri sekitar 137.1 miliar token SWEAT; tim SWEAT segera menghentikan kontrak token, dan berkoordinasi dengan bursa serta penyedia likuiditas Rhea Finance, hingga akhirnya memulihkan seluruh saldo akun pengguna.

Menurut pernyataan resmi Polymarket, platform pasar prediksi telah membantah tuduhan terbaru bahwa mereka mengalami pelanggaran data, dengan mengatakan bahwa informasi yang beredar melibatkan endpoint API publik dan data blockchain di rantai. Seorang peretas yang menggunakan nama samaran "xorcat" mengklaim telah

Otoritas Moneter Hong Kong (HKMA) mengeluarkan peringatan publik pada 28 April terkait token digital penipuan yang beredar dengan nama dua penerbit stablecoin yang baru dilisensikan. Token dengan ticker "HKDAP" dan "HSBC" telah muncul di pasar tanpa otorisasi dari Anchorpoint Financial Limited atau The Hongkong and Shanghai Banking Corporation Limited, yang keduanya menerima lisensi perdana penerbit stablecoin Hong Kong pada 10 April. HSBC mengonfirmasi bahwa pihaknya tidak memiliki hubungan dengan token apa pun yang saat ini menggunakan namanya dan menjelaskan bahwa stablecoin yang direncanakan dalam denominasi dolar Hong Kong masih dalam tahap persiapan untuk peluncuran pada paruh kedua 2026. Setelah dirilis, produk akan tersedia secara eksklusif melalui PayMe dan Aplikasi Perbankan Seluler HSBC HK. Anchorpoint juga mengonfirmasi bahwa pihaknya belum merilis produk stablecoin apa pun kepada publik.

Menurut Bitcoin.pl, data pelanggan dari bursa Polandia yang gagal Zondacrypto telah ditawarkan untuk dijual di darknet, dengan dua paket yang tersedia. Paket yang lebih kecil, yang berisi alamat email dan data identifikasi dasar, dibanderol dengan harga sekitar 550 euro, sementara paket yang lebih besar—termasuk

Menurut Blockaid, protokol kontrak perpetual Aftermath Finance di Sui Network mengalami serangan berkelanjutan, dengan sekitar $1,1 juta USDC dicuri melalui 11 transaksi dalam 36 menit. Kerentanan tersebut berasal dari cacat pencatatan biaya dalam sistem likuidasi kontrak perpetual, yang memungkinkan penyerang untuk membesarkan jaminan sintetis dan menarik dana dari perbendaharaan protokol.

Menurut peneliti Manifold Ax Sharma, 30 plugin di ClawHub yang disamarkan sebagai alat AI yang sah telah diunduh lebih dari 9.800 kali sementara diam-diam mengubah asisten AI pengguna menjadi pekerja kripto. Plugin-plugin tersebut, yang dipublikasikan di bawah akun imaflytok, tampak sebagai penjadwal tugas rutin dan alat pemantauan, namun berisi instruksi tersembunyi yang menjalankan operasi yang tidak berwenang. Setelah terpasang, plugin-plugin ini secara otomatis mendaftarkan asisten AI pengguna ke server pihak ketiga, membuat dompet mata uang kripto, dan mengekstrak kunci privat tanpa persetujuan atau pemberitahuan pengguna. Asisten kemudian melakukan check-in setiap 4 jam sambil menunggu penugasan tugas. Sharma mencatat bahwa plugin-plugin tersebut tidak berisi kode berbahaya yang dapat dideteksi oleh pemindai keamanan, hanya menggunakan antarmuka standar dan alat yang sah, sehingga sulit diidentifikasi melalui tinjauan keamanan konvensional.

Pesan Berita Gate, 29 April — Jaringan utama Ethereum mengalami empat serangan kontrak pintar dalam 48 jam terakhir (27-29 April), mengakibatkan kerugian gabungan melebihi $1,5 juta, menurut GoPlus Security. Insiden tersebut termasuk serangan terhadap kontrak agregator Onchain yang menyebabkan kerugian sebesar $983,000 dalam los

Pesan Gate News, 29 April — ZetaChain merilis laporan pasca-kejadian yang mengonfirmasi bahwa serangan 24 April mengeksploitasi kerentanan dalam pipeline pesan lintas-rantai (cross-chain). Insiden tersebut menyebabkan total kerugian sebesar $333,868 (terutama USDC dan USDT) di seluruh sembilan transaksi di Ethereum, Arbitrum,