Kerugian akibat peretasan kripto mencapai $651 juta pada April 2026 dan menjadi catatan bulanan tertinggi sejak 2022. Lonjakan ini langsung menyoroti betapa rapuhnya keamanan di sektor crypto, terutama ketika dua serangan besar DeFi menyumbang sebagian besar kerusakan.
Data dari DefiLlama dan CertiK menunjukkan total kerugian eksploit yang terkonfirmasi sekitar $651 juta, termasuk sekitar $3,5 juta dari phishing. Angka itu menjadi performa bulanan terburuk sejak Maret 2022, jika tidak menghitung peretasan besar Bybit pada Februari 2025.
Dua serangan besar jadi pusat kerugian
Kerusakan terbesar datang dari Drift Protocol dan KelpDAO. Kedua insiden ini bersama-sama menyumbang hampir seluruh nilai kehilangan pada April.
Drift Protocol menjadi sasaran pada 1 April dengan kerugian $285 juta. Sebagai DEX perpetual futures terbesar di Solana, platform itu kehilangan dana dari vault yang menyimpan JLP token, SOL, BTC, dan aset lain.
Serangan Drift bukan berasal dari celah kode. Audit independen sebelumnya telah membersihkan kontrak, tetapi penyerang menjalankan kampanye social engineering selama enam bulan yang dikaitkan dengan Lazarus Group dari Korea Utara.
Para pelaku menyamar sebagai firma trading kuantitatif yang sah. Mereka membangun hubungan, mengompromikan akun kontributor, lalu memperoleh akses ke admin key dan infrastruktur cloud.
Dalam 12 menit, lebih dari 50% TVL Drift lenyap. TVL protokol itu turun dari sekitar $550 juta menjadi di bawah $250 juta.
KelpDAO memperlihatkan risiko infrastruktur
KelpDAO mengalami kerugian sekitar 116.500 rsETH senilai kurang lebih $292 juta pada 18-19 April. Insiden ini terjadi lewat LayerZero cross-chain bridge dan kembali dikaitkan secara awal dengan unit TraderTraitor milik Lazarus Group.
Penyerang memanfaatkan titik gagal tunggal pada konfigurasi verifier 1-dari-1. Mereka mengompromikan RPC node yang dipakai verifier, melancarkan serangan DDoS pada node lain, lalu memalsukan pesan lintas rantai yang seolah-olah berasal dari Unichain.
Trik itu membuat bridge melepaskan dana dari escrow Ethereum. LayerZero kemudian menyebut telah memperingatkan Kelp soal konfigurasi single-verifier yang berisiko.
Dampaknya tidak berhenti di satu protokol. rsETH yang dicuri kemudian dipakai sebagai agunan di platform pinjaman seperti Aave untuk meminjam aset lain, dan serangan itu memicu lebih dari $10 miliar arus keluar dari protokol terhubung.
Serangkaian insiden kecil ikut memperbesar total kerugian
Selain dua serangan utama itu, April juga dipenuhi insiden lain yang menambah tekanan pada ekosistem. ZetaBridge rugi $8,1 juta akibat celah logika smart contract pada 3 April, sementara Grinex exchange kehilangan sekitar $13,7 juta USDT dari beberapa wallet pada 15 April.
Rhea Finance juga mencatat kerugian sekitar $7,6 juta karena kontrak token palsu. Di sisi lain, serangan yang lebih kecil seperti PulseVault sebesar $3,4 juta, AeroSwap sebesar $1,7 juta, dan NodeFi sebesar $2,3 juta ikut memperburuk total kerugian.
Banyak dari serangan itu melibatkan flash loan, manipulasi oracle, atau private key yang dikompromikan. Kombinasi ini menunjukkan bahwa pelaku tidak hanya menyerang kode, tetapi juga alat, akses, dan proses operasional di belakangnya.
Ancaman kini bergeser ke serangan yang lebih terorganisir
Pola peretasan crypto pada 2026 terlihat makin jauh dari era awal yang didominasi reentrancy bug sederhana dan flash loan exploit. Saat ini, serangan makin sering melibatkan advanced persistent threats atau APT yang dijalankan aktor negara, terutama Lazarus Group.
Metodenya mencakup pengintaian berbulan-bulan, social engineering, phishing berbantuan AI, deepfake, dan kompromi supply chain. Dalam kasus Drift, audit teknis tidak cukup karena penyerang tidak membobol kode, melainkan manusia dan proses di sekelilingnya.
KelpDAO menunjukkan ancaman serupa di sisi off-chain. Infrastruktur yang dipercaya untuk cross-chain messaging berubah menjadi single point of failure ketika node dikompromikan dan diserang lewat DDoS.
Lazarus sendiri disebut telah mencuri miliaran dolar kripto selama bertahun-tahun untuk mendukung aktivitas rezim. Dana itu dicuci cepat melalui mixer, bridge, dan protokol terdesentralisasi, sehingga upaya pertahanan tradisional seperti audit kode dan bug bounty tidak lagi memadai.
Dalam 18 hari pertama April saja, kerugian sudah melampaui $606 juta dari sedikitnya selusin insiden. Total theft year-to-date 2026 pun mendekati $772 juta, menandakan tekanan keamanan masih jauh dari selesai.







