Pendiri OpenZeppelin, Manuel Aráoz, menyatakan 'seluruh DeFi' tidak aman pada 26 Mei 2026, karena agen coding AI kini menemukan bug kontrak pintar lebih cepat daripada yang bisa ditambal oleh para pembela—menciptakan... Peringatan Aráoz muncul setelah April 2026, bulan terburuk untuk peretasan DeFi sejak Februari 20...

Create a landscape editorial hero image for this Studio Global article: What prompted OpenZeppelin co-founder Manuel Aráoz to declare "all of DeFi" unsafe, what specific incidents and evidence supported his warni. Article summary: On **May 26, 2026**, OpenZeppelin co-founder Manuel Aráoz posted on X that he now considers **"all of DeFi" unsafe** and advised friends and family to withdraw all funds, including from blue-chip protocols like Aave, Mak. Topic tags: general, general web, news, user generated. Reference image context from search candidates: Reference image 1: visual subject "A circular diagram highlights the core principles of OpenZeppelin AI, Standards & Expertise, emphasizing phases like architecting, building, supporting, and securing, with specific" Reference image 2: visual subject "OpenZeppelin Founder Warns: DeFi Is Unsafe" source context "DeFi Is Unsafe Says OpenZeppeli
Pada 26 Mei 2026, sosok di balik firma keamanan paling tepercaya di industri kripto menyampaikan vonis yang mengguncang dunia keuangan terdesentralisasi. Manuel Aráoz, yang membangun OpenZeppelin menjadi standar emas untuk audit kontrak pintar, menulis di X bahwa ia kini menganggap "seluruh DeFi" tidak aman—dan bahwa ia diam-diam telah memberitahu teman dan keluarganya untuk menarik uang mereka bahkan dari protokol blue-chip seperti Aave, MakerDAO, dan Compound .
Peringatan itu bukanlah kekhawatiran teoretis. Ia didasari oleh kenyataan brutal: April 2026 baru saja menjadi bulan terburuk untuk peretasan DeFi dalam lebih dari setahun, dengan para penyerang mengeksploitasi lanskap ancaman yang secara fundamental baru .
Argumen Aráoz sederhana namun mematikan, dan justru karenanya lebih mengkhawatirkan. Keamanan kontrak pintar selalu bersifat asimetris, tetapi kecerdasan buatan kini telah mengubah asimetri itu menjadi jebakan. Pembela harus menemukan dan menambal setiap kerentanan dalam kode, infrastruktur, dan tata kelola protokol. Penyerang yang menggunakan agen coding AI hanya perlu menemukan satu jalur yang bisa dieksploitasi .
"Agen coding memiliki kemampuan super untuk menemukan kerentanan," tulis Aráoz. "Keamanan kontrak pintar terlalu asimetris: pembela harus memperbaiki setiap bug sementara penyerang hanya perlu satu eksploitasi untuk mencuri dana" .
Ini bukan bug yang bisa diperbaiki dengan audit yang lebih baik. Ini adalah fitur struktural dari cara kerja serangan berbantuan AI saat ini. Pertahanan tradisional—transparansi open-source, audit independen berganda, verifikasi formal—dirancang untuk era ketika penyerang manusia menghadapi pembela manusia di pijakan yang kurang lebih setara. AI mengubah kalkulasi itu sepenuhnya .
Peringatan Aráoz tidak muncul begitu saja. April 2026 menjadi saksi serangkaian serangan yang secara kolektif menguras antara $630 juta dan $647 juta dari protokol DeFi di lebih dari 25 insiden terpisah—total bulanan tertinggi sejak Februari 2025, ketika kerugian mencapai $1,47 miliar .
Drift Protocol — $285 juta (1 April)
Bulan itu dibuka dengan kampanye rekayasa sosial canggih yang dikaitkan dengan Grup Lazarus dari Korea Utara. Para penyerang menghabiskan sekitar enam bulan membangun kepercayaan dengan anggota Dewan Keamanan Drift, akhirnya menipu mereka untuk menandatangani pra-transaksi yang memberikan akses istimewa. Begitu masuk, para penyerang menyetorkan token palsu sebagai jaminan dan menguras sekitar $285 juta dari DEX berbasis Solana—dalam waktu sekitar 10 detik .
Ini bukanlah bug kontrak pintar. Ini adalah kompromi manusia pada struktur tata kelola.
KelpDAO — $293 juta (18 April)
Eksploitasi DeFi terbesar tahun 2026 menghantam jembatan lintas-rantai LayerZero KelpDAO. Seorang penyerang mencetak 116.500 rsETH—senilai sekitar $293 juta—dan menggunakan token tersebut sebagai jaminan untuk meminjam ETH asli, yang kemudian dipindahkan melalui THORChain . Chainalysis kemudian menentukan bahwa eksploitasi tersebut mengekspos kelemahan verifikasi off-chain, bukan kegagalan kontrak pintar konvensional
.
Dalam waktu 48 jam, pengguna yang panik memicu kaskade penarikan yang menghapus miliaran dolar dari TVL DeFi. Aave, protokol pinjaman terbesar, segera membekukan pasar rsETH-nya di berbagai versi .
Wasabi — kompromi kunci admin (April)
Insiden besar ketiga di bulan April menargetkan Wasabi, melibatkan kunci admin yang dikompromikan yang memicu efek domino di seluruh protokol. Bersama dengan Drift dan KelpDAO, ketiga serangan ini mewakili tiga kategori "kegagalan non-kode" yang berbeda—rekayasa sosial, kelemahan verifikasi off-chain, dan kompromi infrastruktur .
Analis keamanan mencatat bahwa kelas kerentanan yang menyebabkan kerugian pada tahun 2026—kegagalan kontrol akses, eksploitasi upgradeabilitas proxy, dan serangan jembatan lintas-rantai—adalah vektor serangan yang hampir tidak ada pada tahun 2020 .
Angka-angkanya melukiskan gambaran yang suram. Total nilai terkunci (TVL) DeFi telah jatuh lebih dari 50% dari puncaknya di Oktober 2025 sekitar $170 miliar menjadi sekitar $38–$43 miliar pada pertengahan Mei 2026—kontraksi terburuk sejak jatuhnya FTX . Salah satu pelacak menempatkan TVL di $82,08 miliar pada akhir Mei, masih mencerminkan kompresi harga aset dan penarikan modal yang sebenarnya
.
Peringatan Aráoz pada 26 Mei menambahkan gelombang arus keluar baru dari pengguna ritel dan institusional yang gelisah, yang selama ini berpegang pada harapan bahwa protokol mapan tetap aman. Kenyataannya, bahkan protokol yang telah dibantu diamankan oleh OpenZeppelin sejak 2015—Aave, MakerDAO, dan Compound—kini ditandai sebagai tidak aman oleh pakar keamanan yang paling tahu kode mereka .
Dalam menghadapi krisis eksistensial, industri DeFi melancarkan salah satu respons paling terkoordinasi dalam sejarahnya.
Dana penyelamatan DeFi United. Dipimpin oleh Aave, lebih dari 30 protokol dan perusahaan—termasuk Mantle, Consensys, Lido, EtherFi, dan Compound—berjanji lebih dari $300 juta dalam bentuk Ether untuk menutupi utang tak tertagih dan memulihkan dukungan rsETH setelah eksploitasi KelpDAO . Inisiatif ini mengumpulkan komitmen melebihi 43.500 ETH, dengan Mantle sendiri mengusulkan untuk meminjamkan hingga 30.000 ETH kepada Aave DAO
. Standard Chartered secara terbuka memuji upaya tersebut sebagai bukti pematangan ekosistem
.
Intervensi Arbitrum yang belum pernah terjadi sebelumnya. Dewan Keamanan Arbitrum membuat keputusan kontroversial untuk membekukan dan memindahkan sekitar 30.766 ETH hasil yang dapat dilacak dari serangan KelpDAO—tanpa kunci pribadi penyerang. Ini menandai salah satu intervensi on-chain paling agresif oleh jaringan Layer 2 .
Penghentian protokol darurat. KelpDAO menjeda semua kontrak di mainnet dan L2 dalam beberapa jam setelah mendeteksi pelanggaran. Aave membekukan pasar rsETH-nya di V3 dan V4 untuk mencegah likuidasi berjenjang .
Tekanan regulasi meningkat. Regulator keuangan Uni Eropa mulai menyusun persyaratan lisensi darurat untuk protokol DeFi, sementara Departemen Keuangan AS memberi sinyal peningkatan pengawasan terhadap protokol yang menangani lebih dari $50 juta aset pengguna .
Pemulihan Drift Protocol. Tether mengumumkan komitmen $127,5 juta untuk mendanai kumpulan pemulihan terkait pendapatan bagi pengguna Drift, mewakili salah satu dana talangan penerbit stablecoin terbesar dalam sejarah DeFi .
Terlepas dari upaya luar biasa ini, argumen intinya tetap tak terbantahkan. Peringatan Aráoz bukan tentang lonjakan eksploitasi sementara atau beberapa protokol yang membutuhkan audit lebih baik. Ini adalah diagnosis struktural: penyerang bertenaga AI telah mengubah persamaan keamanan secara permanen, dan industri belum menunjukkan terobosan pertahanan yang sebanding .
Protokol yang selamat dari April 2026 kini beroperasi di dunia di mana rekayasa sosial dapat menguras $285 juta dalam hitungan detik, di mana pemverifikasi jembatan dapat dipalsukan untuk mencetak $293 juta jaminan palsu, dan di mana agen AI dapat memindai kerentanan baru lebih cepat daripada yang bisa ditambal oleh tim audit manusia mana pun. Sampai asimetri ini ditangani pada tingkat fundamental—melalui arsitektur, desain ulang tata kelola, dan pertahanan bertenaga AI—peringatan Aráoz akan tetap berlaku.
Studio Global AI
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
Pendiri OpenZeppelin, Manuel Aráoz, menyatakan 'seluruh DeFi' tidak aman pada 26 Mei 2026, karena agen coding AI kini menemukan bug kontrak pintar lebih cepat daripada yang bisa ditambal oleh para pembela—menciptakan...
Pendiri OpenZeppelin, Manuel Aráoz, menyatakan 'seluruh DeFi' tidak aman pada 26 Mei 2026, karena agen coding AI kini menemukan bug kontrak pintar lebih cepat daripada yang bisa ditambal oleh para pembela—menciptakan... Peringatan Aráoz muncul setelah April 2026, bulan terburuk untuk peretasan DeFi sejak Februari 2025, dengan penyerang mencuri $630–$647 juta di lebih dari 25 insiden—termasuk eksploitasi jembatan KelpDAO senilai $293...
TVL DeFi telah anjlok lebih dari 50% dari puncaknya di Oktober 2025 sebesar $170 miliar menjadi sekitar $38–$43 miliar pada pertengahan Mei 2026, sementara industri meluncurkan upaya penyelamatan lintas protokol 'DeFi...