Data menunjukkan, hingga bulan Juni, TVL DeFi telah turun dari sekitar $115 miliar di awal tahun menjadi sekitar $70 miliar, penurunan mencapai 39%, hampir setiap bulan mengalami penurunan.
Sementara itu, insiden keamanan memberikan tekanan lain pada DeFi. Berdasarkan statistik, sejak 2026 telah terjadi 121 serangan peretas di bidang DeFi, dengan kerugian kumulatif sekitar $942 juta. Hanya pada kuartal kedua terjadi 85 insiden, dengan kerugian mencapai $775 juta, menjadikannya kuartal dengan aktivitas serangan paling sering dalam periode statistik tersebut.
Dengan meluasnya alat AI generasi baru, biaya dan persyaratan keterampilan untuk menemukan kerentanan kontrak pintar turun drastis,perusahaanaudit keamananterpaksa berdiri di pusat perubahan ini.
一、AI-isasi di Sisi Serangan, Pertahanan Keamanan Lama Sedang Kehilangan Efektivitas
Runtuhnya Logika Lama
Setiap kali industri membahas dampak AI di bidang kripto, reaksi pertama sering kali adalah trading kuantitatif, penasihat investasi pintar, analisis data on-chain. Namun arah kenyataannya di luar dugaan semua orang: hal pertama yang ditembus AI adalah bisnis yang sebelumnya dianggap paling stabil di industri ini—audit keamanan.
Dua tiga tahun lalu, perusahaan audit keamanan adalah aset konservatif di mata investor institusional untuk berpartisipasi dalam kemakmuran industri kripto. Logikanya sederhana langsung: selama ada protokol baru diluncurkan, perlu audit; industri semakin makmur, permintaan audit semakin kuat; harga per klien tinggi, pendapatan stabil, tidak bergantung pada fluktuasi harga token.
Data Immunefi menunjukkan, kerugian protokol DeFi akibat serangan peretas pernah turun 74% dari puncak $2,62 miliar pada 2022, menjadi sekitar $680 juta pada 2025. Proporsi serangan jembatan silang terhadap total kerugian DeFi turun drastis dari 73% pada 2022 menjadi 3% pada 2025. Industri umumnya percaya, kematangan berkelanjutan audit keamanan sedang berperan.
Namun, penilaian ini secara bertahap terbantahkan.
Pada 9 Juni, Anthropic merilis model AI generasi baru Claude Mythos. Di pasar segera muncul pandangan: peningkatan frekuensi serangan yang tidak biasa terhadap protokol-prototokol utama baru-baru ini, mungkin terkait dengan peningkatan kemampuan berkelanjutan model AI mutakhir.
Simon Dedic, pendiri Moonrock Capital, menyatakan, dengan meluasnya alat AI generasi baru, biaya dan persyaratan keterampilan untuk menemukan kerentanan kontrak pintar akan turun hingga hampir nol, protokol yang belum diaudit akan menjadi sasaran, kerentanan yang diketahui akan terus diulang.
Data Chainalysis mengkonfirmasi tren ini: dalam enam bulan terakhir, hanya serangan terhadap kontrak dengan kode sumber tidak diverifikasi publik menyebabkan kerugian sekitar $36,7 juta, penyerang menggunakan bantuan AI untuk melakukan dekompilasi ulang bytecode asli untuk mencari kerentanan, model bahasa besar telah dapat mengidentifikasi pola kerentanan secara skala, melakukan pemindaian sistematis terhadap ribuan kontrak,protokol Truebit, Aperture Finance, Ekubo termasuk di dalamnya.
Alur lengkap dari penemuan hingga eksekusi penyerang, sedang dikompresi hingga tingkat menit. Masa berlaku laporan audit tradisional dihitung per bulan, selisih waktu ini, adalah celah struktural paling mematikan dari model audit lama.
Sudah Diaudit, Masih Kena Retas?
Target utama serangan peretas, tidak lagi protokol kecil tingkat dua tiga. Drift Protocol adalah platform kontrak perpetual utama di Solana, kontrak pintarnya telah melalui beberapa putaran audit oleh beberapa lembaga keamanan terkenal. Namun investigasi lembaga keamanan TRM Labs menunjukkan, penyerang melalui serangan rekayasa sosial selama 6 bulan, secara bertahap menyusup ke anggota tim Drift, akhirnya mendapatkan kunci administrator istimewa.
Situasi KelpDAO juga serupa. Penyerang memanfaatkan kerentanan konfigurasi node validasi tunggal pada jembatan silang LayerZero, memalsukan deposit dan mencetak token tanpa jaminan, dalam 46 menit mencuri $293 juta. Setelah diteliti, skema konfigurasi multi-node validasi sebelumnya pernah direkomendasikan, tetapi tidak diadopsi. Kontrak lolos audit, konfigurasi infrastruktur ada cacat, kerugian tetap terjadi.
Di antara protokol-protokol yang telah melalui audit, meskipun mencakup kebenaran kode, tetapi pada logika bisnis dan proses operasionaldihindari oleh penyerang.
Di sisi lain, cakupan pemindaian AI juga tidak hanya menarget protokol baru. Perusahaan keamanan Web3 GoPlus Security menunjukkan, penyerang dengan bantuan teknologi AI menggali kerentanan kontrak historis yang dideploy bertahun-tahun lalu secara skala besar. Pada 9 Juni, kontrak Ethereum Token of Power yang telah dideploy 7 tahun diserang, kerugian sekitar $1,5 juta; 25 Mei, kontrak WUSD.fi yang berjalan 3 tahun diserang, kerugian sekitar $200.000; kontrak lama Aztec Network yang dideploy 2 tahun lalu, pada 14 dan 18 Juni berturut-turut diserang dua kali, total kerugian lebih dari $4 juta.Ini menunjukkan, masa berlaku perlindungan laporan audit lama, mungkin sudah nol.
Bulan lalu, Manuel Aráoz, salah satu pendiri perusahaan keamanan kripto OpenZeppelin, menyatakan, sekarang dia meyakini "semua DeFi tidak aman", dan mengatakan dia telah menyarankan teman dan keluarga untuk keluar dari semua posisi DeFi termasuk Aave, MakerDAO, dan Compound. Alasannya adalah kemampuan AI programming Agent untuk menemukan kerentanan telah mencapai tingkat superhuman, sementara keamanan kontrak pintar strukturnya sangat asimetris—sisi bertahan harus menambal setiap kerentanan, penyerang hanya perlu menemukan satu pintu masuk yang efektif.
OpenZeppelin pernah menyediakan layanan audit untuk Aave, Compound, Uniswap, Coinbase, adalah salah satu penyedia infrastruktur keamanan kontrak pintar terpenting di industri kripto. Pernyataan ini keluar dari mulutnya, bobotnya tidak biasa.
Namun, pasar juga mempertanyakan ini. Kontributor ekosistem Aave Marc Zeller menyebutkan, dalam kerugian DeFi satu tahun terakhir, kurang dari 10% berasal dari kerentanan kode, sisanya dari kesalahan konfigurasi parameter risiko, manajemen jaminan yang tidak tepat dan kelemahan keamanan operasional. CEO 0G Labs Michael Heinrich juga menunjukkan, keamanan pinjaman DeFi dibandingkan dengan benchmark tahun 2020 telah meningkat sekitar 98%.
Masalah sekarang adalah, cakupan yang dapat dicapai audit kode semakin terbatas, sementara area serangan penyerang terus diperluas. Kerangka keamanan lama sudah tidak dapat memberikan jawaban yang meyakinkan.
二、Tanggapan dan Rekonstruksi Pihak Proyek dengan Lembaga Audit
Standar audit lama meskipun menunjukkan celah jelas di depan serangan AI, ini tidak berarti permintaan audit akan hilang. Sebaliknya, pihak proyek dan perusahaan audit akan menyesuaikan diri berdasarkan realitas baru.
Jangka Pendek: Pelepasan Terpusat Permintaan Audit Defensif
Banyak protokol utama yang sebelumnya telah menyelesaikan audit, sekarang menghadapi tekanan untuk diaudit ulang sesuai standar keamanan baru di era AI. Pihak proyek mulai menyadari, dalam konteks kemampuan serangan AI yang terus meningkat, siklus perlindungan audit tradisional sedang memendek.
Sifat esensial permintaan ini adalah pengeluaran defensif, bukan sinyal pertumbuhan sehat industri. Lembaga keamanan CertiK dalam laporan regulasi 2026-nya menunjukkan, audit keamanan kontrak pintar sedang ditingkatkan dari praktik terbaik industri menjadi persyaratan masuk regulasi, menjadi ambang batas wajib untuk persetujuan lisensi dan listing token.
Jangka pendek, pengeluaran defensif ini akan membentuk permintaan audit tertentu, tetapi lebih banyak merupakan investasi pasif pihak proyek untuk mengurangi risiko.
Jangka Panjang: Diferensiasi Mendasar Model Bisnis Perusahaan Audit
Lembaga audit juga merasakan tekanan. Dengan evolusi berkelanjutan alat AI di sisi serangan, perusahaan-perusahaan utama mempercepat pengembangan kemampuan deteksi mandiri. Beberapa lembaga audit utama telah meluncurkan sistem audit berbantuan AI dalam periode 2025 hingga 2026, meningkatkan efisiensi melalui analisis paralel multi-model dan deteksi otomatisasi.
Saat efisiensi meningkat, model tradisional menghadapi tekanan. Nilai komersial pengiriman laporan audit satu kali sedang menurun, jangka panjang, volume bisnis lembaga yang mengandalkan laporan point-to-point berisiko menyusut.
Analis JPMorgan dengan tegas menyatakan, insiden keamanan DeFi yang berkelanjutan sedang membatasi masuknya investor institusional utama. Ini bukan hanya sentimen pasar, tetapi juga pertanyaan terbuka terhadap nilai keberadaan seluruh industri audit.
Platform audit kontrak pintar Code4rena yang terkenal dengan model audit kompetitif baru-baru ini mengumumkan penutupan, sumber daya klien dan peneliti diserahkan kepada Immunefi. Platform ini pernah mengumpulkan $6 juta dari Paradigm pada 2023, pernah dianggap sebagai pelengkap kuat model audit tradisional, beroperasi kurang dari dua tahun sejak akuisisi.
Sumber Gambar:RooData
Protokol pinjaman DeFi Radiant setelah mengalami serangan peretas Oktober 2024, meskipun berusaha selama 18 bulan tetap tidak dapat memulihkan dana, mengumumkan memasuki fase penutupan. Ionic Protocol juga karena dampak kerentanan keamanan yang terus meluas, mengumumkan menghentikan semua operasi segera.
Namun, perubahan tidak hanya satu arah.AI juga menunjukkan kemampuan superhuman di sisi pertahanan—masalahnya siapa yang menggunakan lebih dulu.
Alat audit asli AI Firepan mengungkapkan,saat melakukan audit independen terhadap kontrak AMM versi baru Curve Finance pada April 2026, menemukan kerentanan kunci tipe kombinasi: melihat satu sifat saja adalah kode normal, tetapi di bawah kombinasi operasi tertentu, penyerang dapat melewati mekanisme perlindungan donasi dan mengambil dana.
Curve sebelumnya telah melalui beberapa putaran tinjauan oleh enam lembaga audit independen, diakui sebagai salah satu protokol dengan intensitas audit tertinggi di DeFi, tetapi kerentanan ini tetap tersembunyi di area buta audit manual.
Pendiri Curve Finance Michael Egorov setelahnya mengevaluasi, AI memang membantu dalam keamanan kontrak pintar. Namun dia juga menunjukkan, pengalaman keberhasilan AI mendeteksi kerentanan di browser dan kernel Linux, tidak dapat langsung diterapkan ke kontrak pintar—kontrak pintar biasanya hanya ribuan baris kode, manusia dan AI reguler dapat memikirkannya sepenuhnya, risiko yang benar-benar perlu diwaspadai, lebih banyak berasal dari kebocoran kunci di tingkat OpSec dan serangan rantai pasokan, bukan kerentanan kode itu sendiri.
Kasus serupa juga muncul di bidang privacy coin. Insinyur keamanan Taylor Hornby atas mandat organisasi nirlaba Shielded Labs, menggunakan model Anthropic Opus 4.8 untuk melakukan audit terhadap protokol Zcash, menemukan kerentanan kunci di kolam privasi Zcash Orchard yang tidak pernah disadari sejak 2022, secara teori memungkinkan penyerang mencetak ZEC palsu tak terbatas dan tidak terdeteksi on-chain.
Pendiri Zcash Zooko Wilcox kemudian mengucapkan terima kasih secara publik kepada Anthropic. Hornby jugamenyatakan,telah menambahkan Monero (XMR) ke antrean audit, di masa depan juga akan melakukan tinjauan keamanan terhadap lebih banyak proyek privacy coin.
Diketahui, OpenZeppelin telah meluncurkan sistem Skills, memberikan pengetahuan otoritatif dari pustaka kontrak pintar yang telah diaudit kepada AI programming Agent, memajukan garis pertahanan ke tahap pengembangan.
Ini adalah arah baru yang dipaksa diambil perusahaan audit tradisional, dari pemeriksaan setelah kejadian menjadi tertanam penuh, dari pengiriman satu kali menjadi pemantauan berkelanjutan, verifikasi formal dan deteksi risiko real-time on-chain.
Penutup
Secara keseluruhan, jalur audit keamanan sedang mengalami transisi dari mode bonus ke mode kompetisi. AI mempercepat efisiensi serangan, juga mendorong peningkatan sistem pertahanan. Proses ini tidak hanya memengaruhi bentuk komersial perusahaan audit, tetapi juga menuntut seluruh ekosistem DeFi memikirkan kembali cara investasi keamanan.
Bagi pihak proyek, era sekali audit aman seumur hidup telah berlalu. Keamanan bukan lagi satu prosedur sebelum peluncuran, tetapi infrastruktur yang memerlukan investasi berkelanjutan.
Bagi lembaga audit, mengikuti AI secara pasif sudah tidak cukup. Pemain yang dapat menyelesaikan rekonstruksi komprehensif dari alat ke mode layanan lebih cepat, lebih mungkin tetap di meja permainan di fase berikutnya.
