Peretasan Upbit menguji kesabaran regulator Korea Selatan

Korea Selatan bersiap menerapkan kewajiban setingkat bank pada bursa kripto setelah pelanggaran senilai sekitar $30 juta di platform terbesar negara itu, Upbit, mengungkap kelemahan keamanan yang serius.

Badan pengawas keuangan utama Korea Selatan, Komisi Jasa Keuangan (FSC), mengatakan bursa kripto mungkin menghadapi tanggung jawab tanpa kesalahan, standar risiko IT yang lebih ketat, kriteria audit yang diperluas, dan denda yang terkait dengan pendapatan.

Peretasan Upbit pada 27 November diyakini dilakukan oleh Kelompok Lazarus Korea Utara dan merupakan bagian dari peningkatan serangan siber yang ditingkatkan AI yang menargetkan bisnis dan lembaga keuangan Korea.

"Kelompok Lazarus telah membuktikan bahwa mereka sangat dinamis dan akan berubah serta beradaptasi dengan perkembangan zaman ketika teknologi baru seperti cryptocurrency muncul, mereka sudah berada di atasnya," kata Robert Sanchez, seorang ahli dalam manajemen kejahatan keuangan.

Peniruan dengan bantuan AI

Serangan Upbit kemungkinan melibatkan kredensial administrator yang disusupi, menunjukkan kelemahan operasional internal daripada kerentanan blockchain.

Dia mengatakan penyerang modern menghabiskan waktu yang signifikan untuk "menguntit" target potensial di situs seperti LinkedIn.

"Mereka akan mengidentifikasi administrator dan bahkan mungkin menggunakan AI untuk mendukung aktivitas penipuan mereka," kata Sanchez. "Mereka secara bertahap mengumpulkan informasi terkadang dengan meniru karyawan dan bekerja untuk merekayasa balik akses untuk mencapai kunci pribadi yang dilindungi dari akun kripto."

Panggilan untuk bangun

Gubernur Layanan Pengawasan Keuangan (FSS) Chan-jin Lee mengatakan kekurangan keamanan Upbit menunjukkan mengapa Korea Selatan harus melanjutkan dengan revisi tahap dua terhadap Undang-Undang Perlindungan Pengguna Aset Virtual, yang diperkenalkan pada Juli 2024. Dia mengatakan undang-undang saat ini tidak meminta penyedia layanan bertanggung jawab penuh atas kegagalan keamanan.

Menurut FSS, Upbit menunggu enam jam sebelum memberitahu pihak berwenang tentang pelanggaran tersebut. Anggota parlemen Korea Selatan telah menuduh bursa tersebut memperlambat pengungkapan untuk menghindari menenggelamkan merger profil tingginya dengan raksasa internet Naver

"Keamanan sistem adalah garis hidup aset virtual," kata Chan-jin Lee, menambahkan bahwa amandemen baru akan memperkenalkan struktur regulasi yang sebanding dengan Undang-Undang Pasar Modal.

Bursa kripto menghadapi pengawasan yang lebih ketat

Ini bukan pertama kalinya Upbit menjadi target Kelompok Lazarus yang terkait dengan Korea Utara. Pada 26 November 2019, peretas mencuri sekitar $49 juta dari dompet panas. Upbit mengklarifikasi bahwa kerugian tidak berasal dari akun pengguna.

Insiden ini adalah bagian dari pola yang lebih luas. Total 86 aktivitas peretasan siber terkait Korea Utara tercatat dari Oktober tahun lalu hingga September tahun ini, menurut laporan Tren Ancaman Siber 2025 & Prospek 2026 AhnLab yang diterbitkan pada 27 November.

Presiden Jae Myung Lee telah menyerukan peningkatan hukuman untuk kelalaian perusahaan dalam pelanggaran data. Hoon-sik Kang, kepala staf, mengkritik Upbit karena mengelola anggaran keamanan IT secara ad hoc dan gagal memiliki anggaran khusus untuk keamanan siber.

Upbit mengatakan berencana untuk sepenuhnya mengganti dana pelanggan yang dicuri dan dilaporkan telah membekukan aset senilai $1,77 juta yang terkait dengan pelanggaran tersebut. Mereka mengatakan berkomitmen untuk melacak pencurian dan pemulihan aset yang dicuri.

Tetapi melacak dana yang dicuri sangat sulit karena Kelompok Lazarus terkenal menggunakan alat canggih yang dirancang untuk menjaga agar pihak berwenang tidak mengikuti jejak mereka.

"Mixer kripto dirancang untuk mengacak transaksi dan memutuskan jejak kertas," jelas ahli kejahatan keuangan Robert Sanchez. "Lazarus dikenal sering menggunakannya, meskipun kemajuan sedang dibuat untuk menghilangkan anonimitas teknologi tersebut."

Beban operasional yang lebih berat

Korea Selatan sedang mempertimbangkan aturan tanggung jawab tanpa kesalahan yang akan mengharuskan bursa untuk mengganti kerugian pelanggan bahkan ketika platform tidak secara langsung bertanggung jawab atas pelanggaran. Ini adalah tindakan yang secara tradisional diterapkan pada bank dan lembaga keuangan di Korea, bukan bursa kripto.

Ini adalah aturan yang akan memungkinkan pemerintah untuk mendenda bursa kripto hingga 3% dari pendapatan tahunan mereka ketika peretasan terjadi. Hukuman ini dimaksudkan untuk memaksa industri untuk lebih serius menanggapi keamanan.

Tetapi industri cryptocurrency Korea Selatan sudah berjuang untuk menemukan kelayakan komersial dalam aset digital.

"Banyak altcoin, selain Bitcoin, masih kekurangan tujuan yang jelas, dan bisnis yang terkait dengan mereka tidak berjalan dengan baik," kata Louis Ko, CEO startup Bitcoin Nonce Lab. "Beberapa proyek bertahan dari investasi, tetapi ini tidak berkelanjutan."

Ko mengatakan dorongan Korea untuk meminta bursa bertanggung jawab secara finansial atas peretasan dapat memaksa platform yang lebih kecil keluar dari pasar.

"Pasar kripto di Korea masih sangat kecil. Kecuali beberapa bursa besar, sebagian besar bisnis kripto berjuang untuk menciptakan nilai nyata bagi pelanggan."

Dia mengatakan peraturan kripto saat ini berarti setiap bisnis terkait kripto harus memenuhi persyaratan ketat yang sama seperti bursa kripto.

"Standar keamanan minimum, ISMS, membutuhkan biaya sekitar 100 juta KRW (USD 75.000) setiap tahun untuk dipertahankan. Sebagian besar pengusaha di sektor ini membutuhkan tingkat modal ini bahkan untuk mulai beroperasi."

Korea Selatan mengharuskan penyedia layanan online utama untuk mematuhi rezim keamanan siber yang didukung pemerintah yang dikenal sebagai Sistem Manajemen Keamanan Informasi (ISMS).

Ko mengatakan ketidakpastian yang diperparah oleh rezim regulasi Korea yang semakin ketat, dapat mendorong beberapa perusahaan kripto untuk mencari ke luar negeri atau mempercepat perdagangan bawah tanah. Dia menyoroti tren di mana proyek altcoin telah mengeluarkan token melalui saluran ilegal, yang mengarah pada struktur penjualan gaya piramida dan kerugian investor besar.

Amandemen legislatif diharapkan pada paruh pertama 2026 saat Korea memperkuat keamanan dan aturan AML melalui koordinasi yang diperluas dengan Gugus Tugas Aksi Keuangan (FATF).

Robert Sanchez mengatakan bahwa pendidikan tetap menjadi perisai nyata ketika datang untuk mengikuti ancaman.

"Peniruan dan spear-phishing tetap menjadi taktik yang paling umum digunakan oleh penyerang, jadi pelatihan dan pendidikan di bidang ini harus menjadi praktik standar untuk setiap organisasi," katanya. "Ini membutuhkan prosedur internal yang kuat dan terdefinisi dengan baik untuk melawan ancaman ini."

Dapatkan hingga $30.050 dalam hadiah trading ketika Anda bergabung dengan Bybit hari ini