DefiLlama mencatat 518 peretasan kripto dan kerugian lebih dari $17 miliar dalam 10 tahun, dengan penyerang beralih dari smart contract ke kunci, bridge, dan wallet, seiring rsETH kehilangan sekitar $290 juta.
Biaya keamanan kripto selama dekade terakhir secara perlahan telah melampaui $17 miliar, menurut data DefiLlama yang dikutip oleh Cointelegraph, dengan setidaknya 518 peretasan dan eksploitasi yang didokumentasikan menimpa bursa, protokol DeFi, bridge, dan wallet sejak tahun 2014. Angka tersebut mencakup segalanya mulai dari kegagalan bursa awal hingga serangan cross-chain yang canggih saat ini, dan ini terjadi bahkan ketika laju keseluruhan eksploitasi on-chain besar telah melambat dari tahun-tahun puncak mania seperti 2021–2022.
Namun, di balik permukaan, komposisi kerugian tersebut bergeser. Di mana peretasan DeFi awal sering kali bergantung pada bug smart contract dan logika flash-loan yang tidak terkontrol, insiden terbaru menunjukkan penyerang semakin menargetkan area sensitif di sekitar kripto — kunci pribadi, infrastruktur penandatanganan, dan perangkat pengguna — dengan pencurian kredensial, rekayasa sosial, dan serangan gaya SIM-swap. Perusahaan keamanan mengatakan kepada Cointelegraph bahwa mereka memperkirakan tahun 2026 akan membawa lebih banyak phishing canggih dan penipuan yang dibantu AI yang mampu menipu pengguna yang bahkan secara teknis cerdas untuk menandatangani transaksi berbahaya atau mengungkapkan frase benih.
Infrastruktur bridge telah menjadi titik lemah tertentu. Dasbor peretasan DefiLlama menunjukkan bahwa bridge menyumbang hampir $3 miliar dari sekitar $11,8 miliar yang dikategorikan sebagai “total nilai yang diretas,” dengan insiden tunggal besar seperti eksploitasi Ronin, Wormhole, dan Multichain yang menentukan risiko cross-chain. Tambahan terbaru dalam daftar tersebut adalah bridge cross-chain rsETH milik Kelp DAO, yang diserang pada 18 April setelah penyerang memalsukan pesan cross-chain pada tautan berbasis LayerZero dan mencetak atau melepaskan 116.500 rsETH ke alamat yang dikendalikan penyerang.
Token-token tersebut — yang mewakili Ether yang "di-restake" — bernilai sekitar $290–$293 juta pada saat itu, atau sekitar 18% dari total pasokan rsETH, dan telah disebut sebagai eksploitasi DeFi terbesar tahun 2026 sejauh ini oleh media termasuk Bloomberg. Insiden tersebut memaksa Kelp DAO untuk menghentikan bridge, mengoordinasikan respons darurat dengan bursa dan protokol, dan memicu saling tuding atas konfigurasi validator tunggal default LayerZero, yang menurut para kritikus membuat sistem tersebut secara efektif hanya "satu kunci" dari pencetakan yang bersifat bencana.
Bahkan di luar eksploitasi yang menarik perhatian, kompromi kredensial sehari-hari terus menimbulkan kerugian. Data DefiLlama yang dikutip oleh Cointelegraph menunjukkan bahwa pada kuartal pertama tahun 2026 saja, peretas mencuri sekitar $168,6 juta dari 34 protokol DeFi, dengan serangan tunggal terbesar — pencurian Step Finance senilai $40 juta — ditelusuri kembali ke kompromi kunci pribadi daripada bug kode murni. Tren tersebut menunjukkan bahwa keamanan smart contract DeFi perlahan-lahan menguat, sementara penyerang merespons dengan bergerak ke hulu, yaitu ke alat dan proses manusia yang berada di antara wallet dan protokol.
Bagi pengguna dan tim, pelajarannya kejam tetapi jelas: audit dan verifikasi formal itu perlu, tetapi tidak cukup. Kunci hardware, skema multi-sig, perangkat penandatanganan terpisah, kebijakan manajemen kunci yang ketat, dan kebersihan phishing yang tanpa henti kini sama pentingnya untuk menjaga keamanan kripto seperti halnya optimisasi gas dan bug bounty — karena hanya perlu satu kredensial yang disusupi untuk mengubah satu baris lagi di database peretasan DefiLlama menjadi kerugian sembilan digit.
