Kompromi kunci pribadi (private key) muncul sebagai salah satu vektor serangan paling merugikan di dunia kripto, dengan peretas mencuri lebih dari $17 miliar dalam 518 insiden yang tercatat selama dekade terakhir, menurut platform data DefiLlama.
Dalam data yang dibagikan pada hari Selasa, dasbor DefiLlama menunjukkan sebagian besar insiden tersebut berasal dari kunci pribadi yang disusupi, di samping serangan phishing dan serangan berbasis kredensial lainnya.
Sekitar 22,3% insiden disebabkan oleh kompromi kunci pribadi melalui “brute force”, 18,2% karena kompromi kunci pribadi melalui “metode tidak dikenal”, dan 10% terjadi karena serangan phishing pada dompet multi-tanda tangan (multi-signature wallets).
Angka-angka tersebut menambah bukti bahwa beberapa kerugian terbesar di industri semakin banyak berasal dari kelemahan dalam keamanan dompet, infrastruktur penandatanganan, dan perilaku pengguna, alih-alih hanya dari cacat dalam kode protokol.
Temuan ini muncul beberapa hari setelah industri kripto mengalami peretasan terbesarnya sejauh ini pada tahun 2026, pada hari Sabtu, ketika seorang penyerang menguras sekitar 116.500 restaked Ether (rsETH), senilai sekitar $290 juta hingga $293 juta pada saat itu, dari bridge rsETH yang didukung LayerZero milik Kelp DAO.
Gelombang kerugian baru-baru ini juga sangat memukul keuangan terdesentralisasi (DeFi). Lebih dari $600 juta dicuri dari protokol DeFi selama 60 hari terakhir, menurut laporan hari Senin dari perusahaan perdagangan kripto GSR, dengan eksploitasi Kelp dan eksploitasi 1 April yang melibatkan bursa terdesentralisasi berbasis Solana, Drift Protocol, menyumbang sebagian besar total kerugian.
Serangan-serangan ini memunculkan pertanyaan baru tentang apakah peningkatan audit smart contract saja sudah cukup untuk melindungi pengguna. Dalam laporannya, GSR mengatakan para penyerang tampaknya bergeser ke arah "keamanan operasional, infrastruktur penandatanganan, alat pengembang, dan manusia di baliknya" seiring dengan terus meningkatnya keamanan smart contract.
Pergeseran itu menekan sektor yang sudah menghadapi pengembalian yang lebih kecil. "Imbal hasil DeFi telah menyusut mendekati tingkat TradFi, menimbulkan pertanyaan apakah menyimpan di onchain masih sepadan dengan risikonya," tulis GSR.
Perusahaan keamanan siber mengatakan kemajuan dalam malware dan kecerdasan buatan (AI) membuat rekayasa sosial dan serangan penargetan dompet lebih mudah diskalakan. Ini melibatkan penipu yang mengelabui korban untuk mengirim kripto ke alamat ilegal dengan terlebih dahulu mengirimi mereka transaksi kecil, berharap investor menyalin dan menempelkan alamat penyerang dari riwayat transaksi.
Terkait: ZachXBT meminta MemeCore menjelaskan valuasi dan pasokan token
Meningkatnya alat "hacking-as-a-service" juga menurunkan hambatan masuk bagi calon penyerang, menurut Dyma Budorin, salah satu pendiri dan CEO perusahaan keamanan siber Hacken.
"Jika orang mendapatkan tautan ini, dompet mereka bisa dikuras sepenuhnya," kata Budorin kepada Cointelegraph dalam sebuah wawancara di EthCC 2026. "Platform di darknet akan mengambil komisi untuk alat mereka dan [penipu] mendapatkan bagian yang lebih besar dari dompet yang dikuras."
Budorin menambahkan bahwa peretas biasanya mencari target termudah yang membutuhkan sedikit usaha untuk ditipu.
Proyek Web3 kehilangan $482 juta pada kuartal pertama tahun 2026, karena penipuan phishing dan rekayasa sosial menyebabkan $306 juta dari kerugian tersebut sebagai vektor serangan terbesar, menurut laporan dari Hacken.
Meskipun demikian, beberapa bagian dari gambaran ancaman telah membaik. Scam Sniffer mengatakan dalam laporan Januari bahwa kerugian terkait serangan phishing kripto menurun tajam pada tahun 2025, menunjukkan bahwa pengguna menjadi lebih sadar akan ancaman tersebut, bahkan ketika skrip penguras dompet dan jenis malware baru terus beredar.
Majalah: 53 proyek DeFi disusupi, 50 Juta token NEO dapat 'dikembalikan': Asia Express
