Insiden Keamanan

Aplikasi Claude Desktop dari Anthropic menginstal berkas backdoor di browser berbasis Chromium tanpa persetujuan pengguna, sehingga menimbulkan risiko keamanan dan privasi yang serius karena berpotensi memungkinkan penyerang mengendalikan browser pengguna.

Seorang warga negara Tiongkok ditangkap di Argentina karena membawa paspor Paraguay palsu. Ia dicari karena mengatur penipuan mata uang kripto senilai $49,4 juta di Nigeria, dan proses ekstradisi sedang dimulai.

Pada 18 April, sebuah eksploit jembatan lintas-rantai Kelp menyebabkan pencurian sebesar $292 juta pada rsETH. Lido melaporkan eksposur sebesar $21.6 juta melalui vault EarnETH-nya, sehingga Aave membekukan pasar terkait. EarnETH telah menjeda transaksi dan sedang melakukan deleveraging, sementara perbendaharaan DAO milik Lido menerapkan mekanisme perlindungan $3 juta untuk menutup potensi kerugian. Protokol staking inti tetap tidak terpengaruh.

Pasukan Keamanan Israel Didakwa dalam Kasus Pencurian Kripto Otoritas Israel telah mendakwa tujuh perwira militer dan polisi karena menjalankan jaringan pencurian dan suap bernilai jutaan dolar yang melibatkan mata uang kripto, menandai kasus kriminal terkait kripto kedua yang menimpa lembaga pertahanan negara itu pada

Ice Open Network melaporkan adanya pelanggaran keamanan pada 15 April, yang mengungkap akses tanpa izin ke data pengguna, termasuk alamat email dan nomor telepon 2FA, tetapi tidak ada data keuangan yang dikompromikan. Insiden tersebut, yang terkait dengan mantan mitra dari penyedia layanan, sedang ditinjau secara hukum, dan pengguna disarankan untuk memperbarui pengaturan keamanan. Pelanggaran ini menyoroti masalah keamanan yang semakin meningkat di sektor kripto, dengan kerugian besar yang dilaporkan dalam beberapa bulan terakhir.

Bursa kripto Rusia Grinex menghentikan operasinya setelah serangan siber yang menyebabkan kerugian lebih dari $13 juta. Penutupan ini berdampak pada kemampuan bisnis Rusia untuk mengonversi rubel secara internasional dan menantang sistem keuangan bayangan negara tersebut.

LayerZero melaporkan bahwa eksploitasi Kelp DAO, yang dikaitkan dengan Kelompok Lazarus dari Korea Utara, menyebabkan kerugian sebesar $292 juta token rsETH akibat kerentanan pada jaringan verifikator desentralisasinya. Selain itu, eth.limo mengalami pembajakan domain akibat serangan social engineering, namun DNSSEC mencegah kerusakan yang lebih parah.

Peretasan baru-baru ini yang menguras hampir $300 juta dari sebuah proyek kripto menyebabkan krisis likuiditas di Aave, sehingga pengguna menarik sekitar $9 miliar. Kekhawatiran atas kualitas agunan mendorong penarikan besar-besaran, menyoroti risiko dalam pinjaman DeFi.

Sebuah serangan phishing Ethereum yang terkoordinasi menguras $585,000 dari empat korban, dengan mengeksploitasi izin pengguna melalui tautan yang menipu. Insiden ini menyoroti hilangnya dana secara cepat melalui rekayasa sosial, bahkan ketika tampak seolah sah.

Platform pengembangan cloud Vercel mengalami peretasan pada 19 April; pelaku memperoleh hak akses melalui alat AI pihak ketiga yang digunakan oleh karyawan, dan mengancam melakukan pemerasan sebesar 2 juta dolar AS. Meskipun data sensitif tidak diakses, data lain mungkin telah dimanfaatkan. Kejadian ini memicu kekhawatiran keamanan di komunitas kripto; Vercel saat ini sedang melakukan penyelidikan dan menyarankan pengguna untuk mengganti kunci.

KelpDAO mengalami kerugian sebesar $290 juta akibat pelanggaran keamanan yang canggih terkait dengan Grup Lazarus. Serangan tersebut mengeksploitasi kelemahan konfigurasi pada sistem verifikasi mereka dan menyoroti risiko bergantung pada satu pengaturan verifikasi titik tunggal. Para ahli industri menekankan perlunya konfigurasi keamanan yang lebih baik dan verifikasi berlapis untuk mencegah insiden di masa mendatang.

LayerZero mengeluarkan pernyataan terkait insiden peretasan senilai 292 juta dolar AS yang menimpa Kelp DAO, menuduh bahwa konfigurasi Kelp yang memilih 1-of-1 DVN membuat insiden tersebut menjadi mungkin, dan pelakunya adalah grup Lazarus Korea Utara. LayerZero menegaskan bahwa insiden ini berasal dari pilihan konfigurasi, dan bahwa pihaknya tidak akan lagi mendukung pengaturan rentan seperti itu. Selain itu, tanggung jawab masih menjadi perdebatan, dan pihaknya tidak memberikan rencana kompensasi.

Pada April 2026, hanya dalam 20 hari, protokol kripto mengalami kerugian lebih dari 606 juta USD akibat serangan peretas, menjadi rekor kerugian bulanan tunggal terberat sejak insiden kebocoran data senilai 1,4 miliar USD milik bursa pada Februari 2025. Dua serangan, KelpDAO dan Drift Protocol, secara gabungan menyumbang 95% dari kerugian April, serta 75% dari total kerugian hingga saat ini pada 2026 sebesar 771,8 juta USD.

Vercel mengonfirmasi adanya pelanggaran keamanan yang disebabkan oleh alat AI yang telah dibobol, yang mengakibatkan pencurian data karyawan dan pelanggan. Insiden ini menimbulkan risiko bagi ekosistem Web3, dan pelaku berusaha menjual data curian tersebut seharga $2 juta. Vercel sedang menangani situasi ini bersama aparat penegak hukum dan pakar penanganan insiden.

David Schwartz, CTO Emeritus di Ripple, menganalisis kerentanan keamanan jembatan setelah eksploit $292 juta Kelp DAO. Ia mencatat bahwa para penyedia memprioritaskan kenyamanan daripada keamanan yang kuat, sehingga melemahkan fitur perlindungan penting. Kebocoran Kelp DAO berawal dari kebocoran kunci privat, yang diperparah oleh konfigurasi keamanan yang disederhanakan dalam implementasi LayerZero mereka.

Kelp DAO 的 token relokasi likuiditas yang dipertaruhkan kembali rsETH pada 19 April diserang peretas dengan mengeksploitasi celah validasi pesan lintas-rantai, yang menyebabkan 116.500 rsETH dilepaskan ke alamat yang dikendalikan oleh penyerang. Beberapa protokol DeFi segera membekukan fungsi terkait untuk menghadapi potensi kerugian. Resmi LayerZero menyatakan sedang secara aktif memperbaiki celah tersebut, dan akan menerbitkan laporan analisis pasca-kejadian.

Pada tahun 2025, Prancis mendokumentasikan 41 penculikan terkait kripto di tengah meningkatnya "serangan kunci pas," sehingga pengamanan yang lebih ketat diberlakukan di sekitar acara blockchain. Insiden global pemaksaan melonjak sebesar 75%, dengan Prancis memimpin dalam jumlah kasus. Upaya untuk meningkatkan keselamatan dan mengatasi kekhawatiran bahwa Prancis akan menjadi pusat kripto sedang dilakukan.

domain eth.limo mengalami pembajakan DNS pada 17 April, dan penyerang menyamar sebagai anggota tim berhasil menghasut pendaftar domain EasyDNS untuk menjalankan pemulihan akun. Meskipun kejadian ini tidak berdampak pada pengguna, karena penyerang tidak memperoleh kunci DNSSEC, sehingga tidak dapat melewati rantai kepercayaan. Kejadian ini menyoroti risiko rekayasa sosial dalam ekosistem kripto, dan mendorong eth.limo beralih ke layanan Domainsure yang tidak mendukung pemulihan akun untuk meningkatkan keamanan.

Curve Finance karena infrastruktur dasar LayerZero terkait rsETH diserang, telah menghentikan fungsi lintas rantai untuk mencegah risiko, sehingga memengaruhi penyambungan lintas rantai CRV dan penyambungan cepat crvUSD. Pendirinya, Egorov, menyatakan bahwa kejadian ini menunjukkan risiko dari “pinjaman tanpa isolasi”, dan mengusulkan mode isolasi penuh sebagai alternatif. Kelp DAO mengalami kerugian sekitar 292 juta dolar AS akibat serangan tersebut, yang berdampak pada aktivitas pinjaman di platform Aave.