#Gate广场五月交易分享

Kerugian DeFi Tertinggi $600M di April — Bulan Terburuk dalam Sejarah Keamanan Kripto

April 2026 kini dikonfirmasi sebagai bulan paling merusak dalam sejarah keuangan terdesentralisasi. DeFiLlama mencatat 28–30 insiden eksploitasi terpisah dengan kerugian lebih dari $635 juta, sementara laporan bulanan akhir CertiK memperkirakan total sekitar $651 juta, angka terburuk sejak Maret 2022 ketika industri kehilangan sekitar $715 juta. Bulan tunggal ini menghapus 3,7 kali total Q1 2026 yang sekitar $164 juta dan mewakili lonjakan mencengangkan sebesar 1.140% dibandingkan kerugian bulan Maret sebesar $52,2 juta. Tagar #DeFiLossesTop600MInApril dikonfirmasi, kenyataan yang diverifikasi data.

Dua Megahack Menggerakkan 93% Kerugian April

Drift Protocol (1 April): ~285 juta dolar dicuri. TRM Labs melacak serangan ke kelompok Korea Utara UNC4736 (Citrine Sleet), yang menghabiskan enam bulan secara sosial engineering terhadap anggota tim Drift di Solana. Penyerang mendapatkan kendali atas kunci penandatangan AWS yang istimewa, mencetak hampir 80 juta token USR dengan jaminan minimal, dan menguras USDC, JLP, SOL, dan aset lain dari kolam penyimpanan.

KelpDAO (18 April): ~293 juta dolar dicuri. Penyebab utamanya adalah konfigurasi Jaringan Verifikasi Terdesentralisasi (DVN) 1-dari-1 yang katastrofik pada jembatan LayerZero V2 KelpDAO. Penyerang yang dikaitkan dengan Lazarus Group (TraderTraitor) mengakses dua node verifier, menyuntikkan pesan lintas rantai palsu, lalu meluncurkan serangan DDoS terhadap node RPC yang sah untuk memaksa failover ke infrastruktur yang dikendalikan penyerang. Mereka menguras 116.500 rsETH. LayerZero mengonfirmasi bahwa konfigurasi multi-DVN akan sepenuhnya mencegah hal ini. Kedua serangan ini menyumbang 93% dari total kerugian dolar April dan keduanya masuk dalam 10 besar peretasan kripto terbesar sejak 2021.

Kaskade Aave: $13B Kompresi TVL DeFi dalam 48 Jam

Penyerang KelpDAO menyetor $249,7 juta rsETH yang dicuri sebagai jaminan di Aave V3 dan V4 di Ethereum dan Arbitrum, meminjam 83.427 WETH dan wstETH (~$228,2 juta aset nyata) terhadap token yang tidak didukung. Ini menciptakan sekitar $196 juta utang buruk di Aave. Aave membekukan pasar rsETH dalam beberapa jam, tetapi kepanikan menyebar: $8,45 miliar dana diselamatkan dari Aave dalam 48 jam, menyebabkan penurunan $13,21 miliar dalam total TVL DeFi dari $99,497 miliar menjadi $86,286 miliar, sebuah kompresi 13% dalam dua hari. Token AAVE turun 16%. Ethereum melihat $1,6 miliar keluar masuk DeFi hanya pada 24 April.

Korea Utara: 76% dari Semua Kerugian Peretasan Kripto 2026

TRM Labs melaporkan bahwa peretas yang didukung negara Korea Utara menyumbang 76% dari semua kerugian peretasan dan penipuan kripto di 2026, dengan $575 juta dicuri dalam 18 hari dari Drift dan KelpDAO. Total pencurian yang dikaitkan sejak 2017 melebihi $6 miliar. Deputy CISO BeyondTrust menyatakan: "Korea Utara mencuri $575 juta dalam 18 hari karena infrastruktur memiliki titik kepercayaan tunggal, tidak ada validasi asal-usul, dan struktur tata kelola yang tidak dapat merespons secepat serangan."

Perubahan Metodologi Serangan dan Kompleksitas Pemulihan

Eksploitasi April mengungkapkan pergeseran dari bug kontrak pintar ke ancaman multi-lapisan yang menggabungkan rekayasa sosial, spoofing jembatan, dan kompromi infrastruktur. Empat eksploitasi kecil lainnya juga menargetkan komponen jembatan. Jembatan lintas rantai yang dipasarkan sebagai terdesentralisasi tetap menjadi titik kegagalan tunggal. Pemulihan menghadapi hambatan baru: penyelidik on-chain ZachXBT mengungkapkan firma hukum Gerstein Harrow LLP mengajukan klaim palsu atas $71 juta ETH KelpDAO yang dibekukan, berusaha memprioritaskan putusan 2015 di atas korban peretasan 2026 yang sebenarnya. Lazarus Group diduga memindahkan $175M dalam ETH meskipun Arbitrum membekukan $71 juta.

April 2026 membuktikan tiga hal: konfigurasi jembatan multi-DVN adalah permukaan serangan yang katastrofik, token staking ulang cair sebagai jaminan menciptakan risiko sistemik yang dapat mengompresi TVL $13B dalam 48 jam, dan penyerang negara kini beroperasi dengan bulan-bulan rekayasa sosial yang dikombinasikan dengan eksploitasi teknis skala infrastruktur. Konfigurasi multi-DVN, validasi asal-usul, dan audit berkelanjutan berbasis AI adalah persyaratan minimum untuk bertahan. Kerugian telah diverifikasi. Kerentanan struktural telah didokumentasikan. Kecuali DeFi secara fundamental merancang ulang arsitektur keamanannya, bulan depan bisa menjadi lebih buruk.