Baru-baru ini saya membaca bahwa Step Finance – sebuah platform agregator DeFi yang cukup terkenal di Solana – telah resmi ditutup sepenuhnya. Penyebabnya adalah insiden hacking yang menyebabkan sekitar 30 juta USD ditarik dari sistem pada akhir Januari. Tapi yang menarik di sini bukan hanya tentang sebuah proyek yang berhenti beroperasi, melainkan mencerminkan masalah yang lebih besar dalam DeFi yang belum banyak disadari orang.

Apa yang berbeda kali ini dibandingkan dengan insiden DeFi sebelumnya? Biasanya saat mendengar tentang hacking, orang langsung berpikir tentang celah smart contract – yaitu kesalahan dalam kode kontrak pintar. Tapi kasus Step Finance tidak demikian. Menurut informasi, celah tersebut tidak terletak pada smart contract apa atau bagaimana kode tersebut dibuat, melainkan di sisi off-chain – khususnya perangkat dari anggota tim manajemen proyek yang disusupi. Ketika penyerang menguasai perangkat ini, mereka bisa mendapatkan kunci pribadi atau mengintervensi proses persetujuan transaksi. Akibatnya, hampir 262.000 SOL ditarik keluar, token STEP anjlok lebih dari 80% dalam waktu singkat.

Ini adalah poin kunci: bahkan jika smart contract sudah diaudit secara ketat, bahkan jika kode bersih, risiko tetap bisa berasal dari manusia dan cara mereka mengelola sistem. Memahami apa itu smart contract hanyalah bagian kecil dari gambaran besar. Pengelolaan kunci pribadi, proses persetujuan internal, pengendalian perangkat – hal-hal ini juga sama pentingnya.

Ngomong-ngomong, Step Finance pernah menjadi alat yang cukup berguna bagi pengguna Solana untuk memantau portofolio DeFi mereka. Sekarang hilang, menciptakan kekosongan tertentu. Namun, SOL tetap cukup stabil, menunjukkan bahwa pasar membedakan antara risiko dari satu protokol tertentu dan prospek jangka panjang blockchain.

Tapi jika melihat gambaran besar, situasinya bahkan lebih mengkhawatirkan. Berdasarkan data dari PeckShield, total kerugian terkait crypto pada tahun 2025 telah melampaui 4,04 miliar USD – naik hampir 34% dibanding tahun sebelumnya. Di antaranya 2,67 miliar USD dari insiden hacking, dan 1,37 miliar USD dari penipuan (tambah 64%). Hanya bulan Februari saja sudah menjadi bencana dengan serangan senilai 1,51 miliar USD terhadap sebuah bursa besar. Lebih dari 200 insiden hacking tercatat.

Yang menarik perhatian adalah tren yang sedang berubah. Alih-alih hanya mengeksploitasi celah teknis, serangan kini semakin menargetkan manusia – keahlian sosial, pengendalian perangkat, menargetkan organisasi besar atau individu yang memegang aset besar. Hal ini secara signifikan meningkatkan kerugian rata-rata setiap kali terjadi hacking.

Dibandingkan lagi, smart contract apa itu tetap bagian dari keamanan, tetapi DeFi sekarang harus memperluas standar keamanan di luar kode. Tata kelola internal, pengelolaan kunci, proses persetujuan transaksi – semuanya perlu dioptimalkan. Ketika aliran modal organisasi semakin memperhatikan aset digital, insiden seperti ini menimbulkan pertanyaan: apakah infrastruktur DeFi sudah siap menangani risiko operasional dalam skala besar?

Step Finance mungkin hanya sebuah proyek dalam ekosistem, tetapi mengingatkan kita bahwa risiko dalam DeFi tidak hanya terletak di blockchain. Risiko juga ada pada cara manusia mengelola, mengoperasikan, dan melindungi apa yang ada di balik sistem. Itulah tantangan nyata yang harus diselesaikan oleh industri.