Data menunjukkan, hingga bulan Juni, TVL DeFi telah turun dari sekitar $115 miliar di awal tahun menjadi sekitar $70 miliar, penurunan mencapai 39%, hampir setiap bulan terjadi penurunan.
Di saat yang sama, insiden keamanan memberikan tekanan lain pada DeFi. Menurut statistik, sejak tahun 2026, telah terjadi 121 serangan peretasan di bidang DeFi, dengan total kerugian sekitar $942 juta. Hanya pada kuartal kedua saja terjadi 85 insiden, dengan kerugian mencapai $775 juta, menjadikannya kuartal dengan aktivitas serangan paling sering dalam periode statistik tersebut.
Dengan meluasnya penggunaan alat AI generasi baru, biaya dan persyaratan keterampilan untuk menemukan kerentanan dalam kontrak pintar turun secara signifikan,perusahaan audit keamanan dipaksa berada di pusat perubahan ini.
一、AI-ifikasi Sisi Penyerang, Pertahanan Keamanan Lama Sedang Kehilangan Efektivitas
Keruntuhan Logika Lama
Setiap kali industri membahas dampak AI pada bidang kripto, reaksi pertama seringkali adalah tentang perdagangan kuantitatif, robo-advisor, analisis data on-chain. Namun, arah realita di luar dugaan semua orang: AI pertama kali menembus adalah bisnis yang dianggap paling stabil di industri ini—audit keamanan.
Dua tiga tahun lalu, perusahaan audit keamanan adalah aset konservatif di mata investor institusional untuk berpartisipasi dalam keuntungan industri kripto. Logikanya sederhana langsung: selama ada protokol baru diluncurkan, diperlukan audit; industri semakin makmur, permintaan audit semakin tinggi; harga per klien tinggi, pendapatan stabil, tidak tergantung pada naik turunnya harga token.
Data Immunefi menunjukkan, kerugian akibat serangan peretasan pada protokol DeFi pernah turun 74% dari puncak $2,62 miliar pada tahun 2022, menjadi sekitar $680 juta pada tahun 2025. Proporsi serangan pada jembatan silang terhadap total kerugian DeFi turun drastis dari 73% pada tahun 2022 menjadi 3% pada tahun 2025. Industri umumnya percaya, kematangan audit keamanan yang berkelanjutan sedang berperan.
Namun, penilaian ini perlahan terbantahkan.
Pada 9 Juni, Anthropic merilis model AI generasi baru Claude Mythos. Di pasar kemudian muncul pandangan: kenaikan frekuensi serangan yang tidak biasa pada protokol terkemuka baru-baru ini, mungkin terkait dengan peningkatan kemampuan model AI mutakhir yang berkelanjutan.
Pendiri Moonrock Capital Simon Dedic menegaskan, dengan meluasnya penggunaan alat AI generasi baru, biaya dan persyaratan keterampilan untuk menemukan kerentanan kontrak pintar akan turun hingga hampir nol, protokol yang belum diaudit akan menjadi sasaran, kerentanan yang diketahui akan terus diulang.
Data Chainalysis membuktikan tren ini: dalam enam bulan terakhir, serangan hanya pada kontrak yang bytecode aslinya tidak diverifikasi publik menyebabkan kerugian sekitar $36,7 juta, penyerang menggunakan bantuan AI untuk melakukan dekompilasi bytecode asli mencari kerentanan, model bahasa besar telah mampu mengidentifikasi pola kerentanan secara skala besar, melakukan pemindaian sistematis terhadap ribuan kontrak,Truebit, Aperture Finance, Ekubo, dan protokol lainnya termasuk di dalamnya.
Alur lengkap dari penemuan hingga eksekusi penyerang, sedang dikompresi hingga level menit. Laporan audit tradisional berlaku efektif dalam hitungan bulan, selisih waktu ini adalah celah struktural paling fatal dari model audit lama.
Sudah Diaudit, Masih Kena Retas?
Sasaran utama serangan peretas, sudah bukan lagi protokol kecil tingkat dua tiga. Drift Protocol adalah platform kontrak berjangka terkemuka di Solana, kontrak pintarnya telah melalui audit multi-putaran dari beberapa lembaga keamanan ternama. Namun investigasi lembaga keamanan TRM Labs menunjukkan, penyerang melalui serangan rekayasa sosial selama 6 bulan, secara bertahap menyusupi anggota tim Drift, akhirnya mendapatkan kunci admin istimewa.
Situasi KelpDAO juga serupa. Penyerang memanfaatkan kerentanan konfigurasi node validator tunggal pada jembatan silang LayerZero, memalsukan deposit dan mencetak token tanpa jaminan, mencuri $293 juta dalam 46 menit. Setelah kejadian, diketahui bahwa skema konfigurasi multi-node validator sebelumnya pernah direkomendasikan, tetapi tidak diadopsi. Kontrak lolos audit, konfigurasi infrastruktur ada cacat, kerugian tetap terjadi.
Di antara protokol yang telah melalui audit, meskipun mencakup kebenaran kode, tetap dapat dilewati oleh penyerang pada logika bisnis dan proses operasional.
Di sisi lain, cakupan pemindaian AI juga tidak hanya terbatas pada protokol baru. Perusahaan keamanan Web3 GoPlus Security menegaskan, penyerang saat ini memanfaatkan teknologi AI untuk menggali kerentanan pada kontrak historis yang telah diterapkan bertahun-tahun lalu secara besar-besaran. Pada 9 Juni, kontrak Ethereum yang telah diterapkan selama 7 tahun, Token of Power, diserang dengan kerugian sekitar $1,5 juta; pada 25 Mei, kontrak WUSD.fi yang telah berjalan selama 3 tahun diserang dengan kerugian sekitar $200 ribu; sebuah kontrak lama Aztec Network yang diterapkan 2 tahun lalu, berturut-turut diserang dua kali pada 14 dan 18 Juni, dengan total kerugian melebihi $4 juta. Ini menunjukkan, masa berlaku perlindungan laporan audit lama, mungkin sudah mencapai nol.
Bulan lalu, salah satu pendiri perusahaan keamanan kripto OpenZeppelin, Manuel Aráoz, menyatakan, ia kini berpendapat "semua DeFi tidak aman", dan mengatakan ia telah menyarankan kerabat untuk keluar dari semua posisi DeFi termasuk Aave, MakerDAO, dan Compound. Alasannya adalah kemampuan Agent pemrograman AI untuk menemukan kerentanan telah mencapai level superhuman, sedangkan struktur keamanan kontrak pintar sangat asimetris—sisi bertahan harus menambal setiap kerentanan, penyerang hanya perlu menemukan satu pintu masuk yang efektif.
OpenZeppelin pernah menyediakan layanan audit untuk Aave, Compound, Uniswap, Coinbase, adalah salah satu penyedia infrastruktur keamanan kontrak pintar terpenting di industri kripto. Pernyataan seperti ini keluar dari mulutnya, memiliki bobot yang tidak biasa.
Namun, pasar juga memiliki perdebatan mengenai hal ini. Kontributor ekosistem Aave Marc Zeller menyebutkan, dalam kerugian DeFi tahun lalu, kurang dari 10% berasal dari kerentanan kode, sisanya berasal dari kesalahan konfigurasi parameter risiko, pengelolaan jaminan yang tidak tepat, dan kelemahan keamanan operasional. CEO 0G Labs Michael Heinrich juga menegaskan, keamanan pinjaman DeFi dibandingkan dengan baseline tahun 2020 telah meningkat sekitar 98%.
Masalahnya sekarang adalah, cakupan yang dapat dicakup oleh audit kode semakin terbatas, sedangkan area serangan penyerang terus meluas. Kerangka keamanan lama sudah tidak dapat memberikan jawaban yang meyakinkan.
二、Respons dan Rekonstruksi dari Proyek dan Lembaga Audit
Standar audit lama meskipun menunjukkan celah yang jelas di hadapan serangan AI, ini tidak berarti permintaan audit akan hilang. Sebaliknya, pihak proyek dan perusahaan audit akan menyesuaikan diri berdasarkan realita baru.
Jangka Pendek: Pelepasan Terkonsentrasi Permintaan Audit Defensif
Banyak protokol terkemuka yang sebelumnya telah menyelesaikan audit, kini menghadapi tekanan untuk diaudit ulang sesuai standar keamanan baru di era AI. Pihak proyek mulai menyadari, dalam konteks kemampuan serangan AI yang terus meningkat, siklus perlindungan audit tradisional semakin memendek.
Sifat esensial dari permintaan ini adalah pengeluaran defensif, bukan sinyal pertumbuhan industri yang sehat. Lembaga keamanan CertiK dalam laporan regulasi tahun 2026-nya menegaskan, audit keamanan kontrak pintar sedang naik dari praktik terbaik industri menjadi persyaratan akses regulasi, menjadi ambang batas wajib untuk persetujuan lisensi dan pencatatan token.
Dalam jangka pendek, pengeluaran defensif ini akan membentuk sejumlah permintaan audit, tetapi lebih merupakan investasi pasif pihak proyek untuk mengurangi risiko.
Jangka Panjang: Diferensiasi Fundamental Model Bisnis Perusahaan Audit
Lembaga audit juga merasakan tekanan. Dengan terus berkembangnya alat AI di sisi penyerang, perusahaan terkemuka mempercepat pengembangan kemampuan deteksi mandiri. Beberapa lembaga audit utama telah meluncurkan sistem audit berbantuan AI dalam periode 2025 hingga 2026, meningkatkan efisiensi melalui analisis paralel multi-model dan deteksi otomatisasi.
Sementara efisiensi meningkat, model tradisional menghadapi tekanan. Nilai komersial dari pengiriman laporan audit satu kali sedang menurun, dalam jangka panjang, lembaga yang bergantung pada laporan point-to-point berisiko mengalami kontraksi volume bisnis.
Analis JPMorgan dengan jelas menyatakan, insiden keamanan DeFi yang berkelanjutan sedang membatasi masuknya investor institusional utama. Ini bukan hanya sentimen pasar, tetapi juga pertanyaan terbuka terhadap nilai keberadaan seluruh industri audit.
Platform audit kontrak pintar yang terkenal dengan model audit kompetitif, Code4rena, baru-baru ini mengumumkan penutupan, sumber daya klien dan peneliti dialihkan ke Immunefi. Platform ini pernah mengumpulkan $6 juta dari Paradigm pada tahun 2023, sekali dianggap sebagai suplemen kuat untuk model audit tradisional, namun berhenti beroperasi kurang dari dua tahun sejak diakuisisi.
Sumber Gambar:RootData
Protokol pinjaman DeFi Radiant setelah mengalami serangan peretasan pada Oktober 2024, setelah upaya 18 bulan masih tidak dapat memulihkan dana, mengumumkan masuk ke tahap penutupan. Ionic Protocol juga karena dampak kerentanan keamanan yang terus meluas, mengumumkan untuk segera menghentikan semua operasi.
Namun, perubahan tidak hanya berjalan ke satu arah. AI juga menunjukkan kemampuan superhuman di sisi pertahanan—masalahnya siapa yang menggunakannya lebih dulu.
Alat audit asli AI Firepan mengungkapkan, ketika melakukan audit independen terhadap kontrak AMM versi baru Curve Finance pada April 2026, ditemukan kerentanan kunci tipe kombinasi: melihat satu atribut saja adalah kode normal, tetapi di bawah kombinasi operasi tertentu, penyerang dapat melewati mekanisme perlindungan donasi dan mengambil dana.
Curve sebelumnya telah melalui beberapa putaran peninjauan dari enam lembaga audit independen, dianggap sebagai protokol dengan intensitas audit tertinggi di DeFi, tetapi kerentanan ini masih tersembunyi di area buta audit manual.
Pendiri Curve Finance Michael Egorov setelah kejadian mengomentari bahwa AI memang membantu dalam keamanan kontrak pintar. Namun ia juga menegaskan, keberhasilan AI dalam mendeteksi kerentanan di browser dan kernel Linux tidak dapat langsung diterapkan pada kontrak pintar—kontrak pintar biasanya hanya memiliki ribuan baris kode, manusia dan AI reguler dapat melakukan penalaran penuh, risiko yang benar-benar perlu diwaspadai lebih berasal dari kebocoran kunci di tingkat OpSec dan serangan rantai pasokan, bukan dari kerentanan kode itu sendiri.
Kasus serupa juga muncul di bidang koin privasi. Insinyur keamanan Taylor Hornby atas mandat organisasi nirlaba Shielded Labs, menggunakan model Anthropic Opus 4.8 untuk melakukan audit pada protokol Zcash, menemukan kerentanan kunci di kolam privasi Zcash Orchard yang tidak pernah terdeteksi sejak tahun 2022, secara teori memungkinkan penyerang mencetak ZEC palsu tanpa batas yang tidak dapat dideteksi on-chain.
Pendiri Zcash Zooko Wilcox kemudian secara publik berterima kasih kepada Anthropic. Hornby juga menyatakan, telah menambahkan Monero (XMR) ke dalam antrian audit, di masa depan akan melakukan tinjauan keamanan terhadap lebih banyak proyek koin privasi.
Diketahui, OpenZeppelin telah meluncurkan sistem Skills, menyediakan pengetahuan otoritatif dari pustaka kontrak pintar yang telah diaudit kepada Agent pemrograman AI, memajukan garis pertahanan ke tahap pengembangan.
Ini adalah arah baru yang dipaksa diambil oleh perusahaan audit tradisional, berubah dari tinjauan setelah kejadian menjadi tertanam penuh, dari pengiriman satu kali menjadi pemantauan berkelanjutan, verifikasi formal, dan deteksi risiko real-time on-chain.
Kesimpulan
Secara keseluruhan, jalur audit keamanan sedang mengalami transisi dari model keuntungan ke model kompetisi. AI mempercepat efisiensi serangan, sekaligus mendorong peningkatan sistem pertahanan. Proses ini tidak hanya mempengaruhi bentuk bisnis perusahaan audit, tetapi juga mengharuskan seluruh ekosistem DeFi memikirkan kembali cara berinvestasi dalam keamanan.
Bagi pihak proyek, era satu audit untuk ketenangan seumur hidup sudah berakhir. Keamanan bukan lagi prosedur sebelum peluncuran, tetapi infrastruktur yang memerlukan investasi berkelanjutan.
Bagi lembaga audit, mengikuti AI secara pasif sudah tidak cukup. Pemain yang dapat menyelesaikan rekonstruksi komprehensif dari alat ke model layanan lebih cepat, lebih mungkin bertahan di meja permainan pada tahap berikutnya.
