Eksploit Utama Tahun 2025

Pendahuluan

Kerugian kripto mencapai $3,4Miliar di tahun 2025, mendekati total tahun 2024. Namun, sifat pencurian berubah secara dramatis. Peretas Korea Utara memimpin serangan, dengan kerugian terkonsentrasi pada serangan yang lebih sedikit tetapi lebih besar.

Tren ini jelas: eksploit sekarang menargetkan rantai pasokan dan kelemahan manusia daripada hanya kerentanan kontrak pintar. Keamanan tradisional seperti audit dan dompet multisig terbukti tidak cukup.

Peretasan Bybit

Pelanggaraan Bybit pada Februari termasuk yang terburuk di tahun 2025, dengan $1,4-1,5Miliar dicuri. FBI melacaknya ke grup TraderTraitor Korea Utara dalam beberapa hari.

Berbeda dari peretasan biasa, ini menargetkan mitra infrastruktur Bybit. Peretas mengompromikan admin dompet Safe, menyuntikkan kode berbahaya ke antarmuka. Saat transfer rutin, kode tersebut menukar alamat dompet, menguras 401.000 ETH.

Polanya Serangan

Strategi pencucian uang berbeda dari operasi biasa. Peretas memindahkan dana dalam potongan kecil (60% di bawah $500K) menggunakan layanan China dalam siklus 45 hari.

Sebagian besar peretas memindahkan jumlah yang lebih besar ($1-10M). Kompromi kunci pribadi menyebabkan 88% kerugian Q1. Operatif Korea Utara menyusup ke perusahaan sebagai kontraktor TI, mendapatkan akses insider untuk pencurian langsung dan pengumpulan intelijen jangka panjang.

Trust Wallet & Cetus

Peretasan ekstensi browser Trust Wallet pada Desember mempengaruhi $7M dana pengguna, yang sepenuhnya diganti rugi oleh perusahaan. Pengguna versi 2.68 perlu pembaruan segera.

Cetus Protocol kehilangan $220-223M pada Mei melalui kerentanan overflow integer. Peretas menggunakan pinjaman kilat untuk memanipulasi perhitungan likuiditas, menciptakan token palsu yang tampak sangat over-collateralized. Mereka menguras 46 pool dalam 15 menit sebelum validator Sui membekukan $162M.

Balancer V2

Eksploit Balancer V2 pada November menguras $128M di berbagai chain. Dua kelemahan memungkinkan serangan: kontrol akses yang lemah memungkinkan penyerang memalsukan transaksi, sementara bug pembulatan menciptakan kesalahan presisi. Peretas menghubungkan 65 mikro-swap, mengakumulasi kesalahan untuk memanipulasi harga sebesar 10%.

Ethereum kehilangan $99M sendiri, dengan Arbitrum, Base, Polygon, Optimism, dan Berachain juga terkena. Lebih dari 20 fork Balancer mewarisi bug tersebut.

Kenaikan Social Engineering

Taktik Korea Utara berkembang melampaui phishing sederhana. Peretas kini menyamar sebagai eksekutif dan investor, menanam pekerja TI palsu di perusahaan kripto, dan merebut akun terverifikasi.

Alat AI mempercepat kampanye ini dengan memindai repositori kode untuk kerentanan dan mereplikasi eksploit di berbagai chain dalam hitungan jam. Operasi dukungan palsu Coinbase saja mencuri lebih dari $100M. Eksploit infrastruktur rata-rata $30M setiap@.

Crash Oktober, Bagian 1

10 Oktober menandai kejadian likuidasi terbesar dalam kripto: $19,3Miliar hilang dalam 14 jam, dengan $3,21Miliar hilang dalam 60 detik pertama. 1,6 juta trader dilikuidasi. Dua kejadian sekaligus mempengaruhi pengumuman tarif China 100% oleh (Trump dan konsultasi MSCI tentang pengecualian aset digital sebagai cadangan), sehingga pasar tidak punya waktu untuk merespons.

Kedalaman order book runtuh 85%, dengan spread BTC melonjak dari 0,02 menjadi 26,43 basis poin (1.321x peningkatan).

Crash Oktober, Bagian 2

Krisis berpusat di Binance, di mana likuiditas jaminan USDe menguap. Sementara bursa lain bertransaksi normal, harga Binance jatuh, memicu likuidasi di seluruh pasar. Manipulasi oracle mengubah $60M penjualan menjadi gelombang cascades sebesar $9,6Miliar.

Leverage USDe rekursif memungkinkan posisi bertumpuk 10x pada harga yang dapat dimanipulasi. Deleveraging menghapus $65B dalam open interest. Kegagalan API dan UI Binance mencegah trader menambah jaminan atau membeli saat harga turun.

Kegagalan Pasar & Sebutan Penting

Masalah stablecoin Binance terlihat meluas tetapi terbatas pada platform. Bursa tersebut memberi kompensasi kepada pengguna $283M sementara pesaing beroperasi normal.

Pelanggaraan besar lain di 2025 termasuk Phemex ($73M), UPCX ($70M), dan Bitget ($100M). Insiden Bitget melibatkan trader yang memanfaatkan bot trading otomatis yang cacat.

Pelajaran yang Dipetik

Audit kontrak pintar meningkat, tetapi peretas beradaptasi. Bybit gagal karena kompromi rantai pasokan, bukan karena flaw kode. Crash Oktober mengungkap kekurangan infrastruktur bursa. Baik Cetus maupun Balancer telah melewati beberapa audit namun tetap dieksploitasi.

Keamanan yang efektif memerlukan pemantauan transaksi secara real-time, validasi rantai pasokan, menganggap setiap insider bisa dikompromikan, dan infrastruktur pasar yang tangguh untuk menahan stres, bukan hanya memilih satu lapisan pertahanan.