Audit Tidak Cukup? $3.3M Hilang dalam Proyek DeFi yang Diaudit, Data Mengungkapkan

Audit penting, tetapi mereka bukan perisai ajaib. Itu adalah kesimpulan kasar dari sebuah utas terbaru oleh platform analisis data blockchain Sentora, dipadukan dengan diagram batang yang memecah miliaran yang hilang dalam hack dan eksploitasi DeFi. Data mencakup tahun 2020 hingga 2025 (kecuali kejatuhan Terra) dan menunjukkan poin yang jelas dan tidak nyaman: bahkan proyek yang membayar untuk tinjauan keamanan kehilangan uang yang serius.

“Audit sangat penting untuk DeFi, tetapi bukan jaminan,” tulis Sentora. “Proyek yang diaudit mengalami kerugian lebih dari $3,3 miliar antara ’20–’25, yang disebabkan oleh rug, kompromi kunci pribadi, dan perubahan setelah audit. Audit DeFi adalah dasar, tetapi manajemen risiko yang efektif masih memerlukan pemantauan aktif terhadap risiko.”

Diagram yang menyertainya, yang mengurutkan kerugian berdasarkan auditor, menunjukkan proyek yang tidak diaudit mengalami kerugian terbesar, sekitar $5 miliar, tetapi juga menunjukkan bahwa proyek yang diaudit dan perusahaan terkenal seperti Certik, NCC Group, dan Trail of Bits jauh dari kebal.

Masalah Berlapis

Secara keseluruhan, visual dan ringkasan Sentora menggambarkan masalah berlapis. Satu bagian yang jelas adalah: proyek yang melewatkan audit atau mengabaikan prosedur membayar harganya. Bagian lain, yang sama pentingnya, adalah bahwa audit itu sendiri hanyalah snapshot, sering dilakukan sebelum pengeditan kode terakhir, perubahan tata kelola, atau pengenalan kunci admin baru.

Modifikasi pasca-audit tersebut, bersama dengan serangan rekayasa sosial yang menangkap kunci pribadi dan rug pull berbahaya oleh orang dalam, menyumbang bagian besar dari kerugian sebesar $3,3 miliar yang ditandai Sentora untuk proyek yang diaudit. Diagram ini juga menyoroti kategori tengah, sebuah ekor panjang auditor kecil yang dikelompokkan sebagai “Lainnya (68),” yang bersama-sama menyumbang bagian besar dari kerugian.

Ini menunjukkan bahwa masalahnya bukan hanya apakah sebuah proyek diaudit, tetapi kualitas dan kelengkapan audit tersebut, cakupan auditor, dan apa yang terjadi setelah laporan diterbitkan. Audit yang melewatkan asumsi desain penting, atau tim yang mengabaikan mitigasi yang disarankan, membuka peluang.

Praktisi keamanan telah mengatakan selama bertahun-tahun bahwa satu audit harus diperlakukan sebagai awal dari program keamanan, bukan garis finis. Pemantauan berkelanjutan, penyebaran bertahap, kontrol multisignature, timelock pada fungsi istimewa, program bug bounty proaktif, dan produk asuransi semuanya merupakan bagian dari pendekatan yang lebih tangguh.

Pesan Sentora memperkuat bahwa audit menetapkan standar minimum, tetapi tim dan investor harus menambahkan lapisan perlindungan dan terus memantau. Untuk ekosistem DeFi yang menghargai komposabilitas dan iterasi cepat, ketegangan ini nyata. Pengembang ingin mengirim fitur dan beradaptasi dengan cepat; auditor membutuhkan ruang lingkup dan waktu untuk menjadi menyeluruh; penyerang mencari jendela singkat di antara keduanya.

Hasil dari data ini sederhana dan tidak nyaman; pengeluaran untuk audit akan tetap diperlukan, tetapi komunitas juga membutuhkan disiplin pasca-audit yang lebih baik dan perlindungan operasional jika ingin secara berarti mengurangi kerugian.

Utas Sentora dan diagram adalah pengingat bahwa keamanan dalam DeFi adalah proses, bukan sertifikat. Audit membantu menemukan masalah, tetapi mereka tidak menghentikan masalah terjadi. Sampai tim memperlakukan keamanan sebagai pekerjaan berkelanjutan daripada sekadar checklist, angka utama kemungkinan akan terus bertambah.