Korea Utara memperluas operasi pencurian kripto DPRK saat rekor $2,02 miliar dicuri pada tahun 2025

Meningkatnya adopsi blockchain dan harga aset digital yang lebih tinggi bertepatan dengan eskalasi tajam dalam pencurian kripto DPRK, membentuk ulang risiko global di layanan terpusat, DeFi, dan dompet pribadi.

Lebih dari $3,4 miliar dicuri pada tahun 2025 saat pencurian kripto bergeser

Menurut laporan baru dari Chainalysis, sektor kripto mengalami pencurian lebih dari $3,4 miliar antara Januari dan awal Desember 2025, dengan pelanggaran Bybit pada bulan Februari saja bertanggung jawab atas $1,5 miliar. Namun, di balik angka utama ini, struktur kejahatan kripto telah berubah secara signifikan hanya dalam tiga tahun.

Selain itu, kompromi dompet pribadi telah melonjak sebagai bagian dari keseluruhan pencurian. Mereka meningkat dari 7,3% dari nilai yang dicuri pada tahun 2022 menjadi 44% pada tahun 2024. Pada tahun 2025, mereka akan menyumbang 37% dari total kerugian jika kompromi Bybit tidak begitu berat mendistorsi data.

Layanan terpusat, meskipun memiliki sumber daya yang dalam dan tim keamanan profesional, terus mengalami kerugian yang semakin besar yang didorong oleh kompromi kunci pribadi. Meskipun insiden seperti itu jarang terjadi, mereka tetap menghancurkan. Pada Q1 2025, mereka mewakili 88% dari semua kerugian, menggarisbawahi risiko sistemik yang diciptakan oleh titik kegagalan tunggal.

Yang mengatakan, persistensi volume pencurian yang tinggi menunjukkan bahwa meskipun ada praktik yang lebih baik di beberapa segmen, penyerang masih dapat mengeksploitasi kelemahan di berbagai vektor dan platform.

Mega-peretasan outlier mendominasi pencurian kripto

Pencurian kripto selalu condong ke segelintir pelanggaran yang terlalu besar, tetapi 2025 menetapkan ekstrem baru. Untuk pertama kalinya, rasio antara peretasan terbesar dan insiden median melampaui 1.000x, berdasarkan nilai dolar AS dari dana pada saat pencurian.

Akibatnya, tiga peretasan teratas pada tahun 2025 menyumbang 69% dari semua kerugian layanan. Sementara jumlah insiden dan kerugian median cenderung bergerak dengan harga aset, skala outlier individu meningkat lebih cepat. Risiko konsentrasi ini berarti bahwa kompromi tunggal sekarang dapat membentuk ulang statistik kerugian tahunan untuk seluruh industri.

Korea Utara memimpin lanskap pencurian kripto global

Republik Rakyat Demokratik Korea (DPRK) tetap menjadi pelaku negara-bangsa yang paling konsekuensial dalam kejahatan aset digital. Pada tahun 2025, peretas Korea Utara mencuri setidaknya $2,02 miliar cryptocurrency, peningkatan $681 juta dari tahun 2024 dan peningkatan tahun-ke-tahun sebesar 51% dalam nilai yang diambil.

Operasi ini menjadikan tahun 2025 sebagai tahun terburuk dalam catatan untuk pencurian terkait DPRK berdasarkan nilai. Selain itu, serangan DPRK mewakili rekor 76% dari semua kompromi layanan, mendorong total kumulatif batas bawah yang dicuri oleh aktor terkait Pyongyang menjadi $6,75 miliar. Khususnya, hasil rekor ini datang meskipun penilaian penurunan tajam dalam insiden yang dikonfirmasi.

Operator Korea Utara semakin mengeksploitasi salah satu vektor inti mereka: menanamkan pekerja IT di dalam bursa, kustodian, dan perusahaan web3.

Setelah di dalam, pekerja ini dapat mengembangkan akses istimewa, memudahkan pergerakan lateral, dan akhirnya mengatur pencurian skala besar. Serangan Bybit pada Februari 2025 kemungkinan memperkuat dampak model infiltrasi ini.

Namun, kelompok terkait DPRK juga telah menyesuaikan taktik rekayasa sosial mereka. Daripada hanya melamar pekerjaan, mereka sekarang sering menyamar sebagai perekrut untuk perusahaan web3 dan AI terkemuka, mengatur proses perekrutan palsu yang rumit. Ini sering berakhir dengan "pemeriksaan teknis" yang menipu target untuk menyerahkan kredensial, kode sumber, atau akses VPN dan SSO ke pemberi kerja mereka saat ini.

Di tingkat eksekutif, kampanye rekayasa sosial serupa menampilkan penjangkauan palsu dari investor strategis atau pengakuisisi yang seharusnya.

Pertemuan pitch dan proses uji tuntas pseudo digunakan untuk menyelidiki detail sistem sensitif dan memetakan jalur akses ke infrastruktur bernilai tinggi. Evolusi ini dibangun langsung pada skema penipuan pekerja IT sebelumnya dan menyoroti fokus yang lebih ketat pada bisnis AI dan blockchain yang penting secara strategis.

Sepanjang 2022–2025, peretasan yang dikaitkan dengan DPRK secara konsisten menempati pita nilai tertinggi, sementara aktor non-negara-bangsa menunjukkan distribusi yang lebih normal di seluruh ukuran insiden. Pola itu menunjukkan bahwa ketika Korea Utara menyerang, ia lebih suka layanan terpusat besar dan bertujuan untuk dampak keuangan dan politik maksimum.

Satu fitur mencolok dari tahun 2025 adalah bahwa total rekor ini dicapai dengan operasi yang diketahui jauh lebih sedikit.

Pelanggaran Bybit yang sangat besar tampaknya telah memungkinkan kelompok terkait DPRK untuk melaksanakan sejumlah kecil serangan yang sangat menguntungkan daripada volume yang lebih besar dari kompromi berukuran sedang.

Pola pencucian cryptocurrency DPRK yang khas

Arus masuk aset curian yang belum pernah terjadi sebelumnya pada awal 2025 memberikan visibilitas yang luar biasa jelas tentang bagaimana aktor terkait Pyongyang memindahkan dana dalam skala besar. Pola pencucian cryptocurrency mereka secara signifikan berbeda dari kelompok kriminal lain dan terus berkembang dari waktu ke waktu.

Arus keluar DPRK menunjukkan struktur bracketing yang khas. Sedikit lebih dari 60% volume berjalan dalam transfer di bawah $500.000, sedangkan aktor dana curian lainnya mengirim lebih dari 60% arus mereka on-chain dalam tranche antara $1 juta dan $10 juta+.

Meskipun biasanya mencuri total yang lebih besar, kelompok DPRK memecah pembayaran menjadi segmen yang lebih kecil, menunjukkan upaya yang disengaja untuk menghindari deteksi melalui strukturisasi yang lebih canggih.

Selain itu, aktor DPRK secara konsisten menyukai titik sentuh pencucian tertentu.

Mereka sangat bergantung pada layanan pergerakan uang dan jaminan berbahasa Mandarin, sering beroperasi melalui jaringan yang terhubung secara longgar dari pencuci profesional yang standar kepatuhannya bisa lemah. Mereka juga menggunakan secara ekstensif layanan jembatan dan pencampuran lintas-rantai, bersama dengan penyedia khusus seperti Huione, untuk meningkatkan obfuscation dan kompleksitas yurisdiksi.

Sebaliknya, banyak kelompok kriminal lain lebih suka protokol pinjaman, bursa tanpa-KYC, platform P2P, dan bursa terdesentralisasi untuk likuiditas dan pseudonimitas. Entitas DPRK menunjukkan integrasi terbatas dengan area DeFi ini, menggarisbawahi bahwa kendala dan tujuan mereka berbeda dari cybercriminal yang dimotivasi secara finansial yang khas.

Preferensi ini menunjukkan bahwa jaringan DPRK terkait erat dengan operator ilegal di seluruh wilayah Asia-Pasifik, terutama di saluran berbasis China yang memberikan akses tidak langsung ke sistem keuangan global. Ini cocok dengan sejarah Pyongyang yang lebih luas dalam menggunakan perantara China untuk menghindari sanksi dan memindahkan nilai ke luar negeri.

Siklus pencucian 45 hari setelah pencurian kripto DPRK

Analisis on-chain pencurian terkait DPRK antara 2022 dan 2025 mengungkapkan siklus pencucian multi-gelombang yang relatif stabil yang berlangsung sekitar 45 hari. Meskipun tidak semua operasi mengikuti timeline ini, ia muncul berulang kali ketika dana curian secara aktif dipindahkan.

Gelombang 1, mencakup hari 0 hingga 5, berfokus pada pelapisan segera. Protokol DeFi melihat lonjakan intens dalam aliran dana curian sebagai titik masuk awal, sementara layanan pencampuran mencatat lompatan volume besar untuk membuat lapisan pertama obfuscation. Keramaian gerakan ini dirancang untuk mendorong dana menjauh dari alamat sumber yang mudah diidentifikasi.

Gelombang 2, mencakup hari 6 hingga 10, menandai awal integrasi ke ekosistem yang lebih luas. Bursa dengan kontrol KYC terbatas, beberapa platform terpusat, dan mixer sekunder mulai menerima aliran, sering difasilitasi oleh jembatan lintas-rantai yang memfragmentasi dan memperumit jejak transaksi. Fase ini sangat penting, karena dana bertransisi menuju off-ramp potensial.

Gelombang 3, berjalan dari hari 20 hingga 45, menampilkan ekor panjang integrasi. Bursa tanpa-KYC, layanan swap instan, dan layanan pencucian berbahasa Mandarin muncul sebagai endpoint utama. Bursa terpusat juga semakin menerima deposit, mencerminkan upaya untuk memadukan hasil ilegal dengan aliran perdagangan yang sah, sering melalui operator di yurisdiksi yang kurang diatur.

Jendela 45 hari yang luas ini memberikan intelijen yang berharga bagi penegak hukum dan tim kepatuhan yang berusaha mengganggu aliran secara real time. Namun, analis mencatat blind spot penting: transfer kunci pribadi, kesepakatan kripto-untuk-fiat OTC tertentu, atau pengaturan sepenuhnya off-chain dapat tetap tidak terlihat kecuali dipasangkan dengan intelijen tambahan.

Kompromi dompet pribadi melonjak dalam volume

Selain pelanggaran layanan profil tinggi, serangan terhadap individu telah meningkat tajam. Perkiraan batas bawah menunjukkan bahwa kompromi dompet pribadi mewakili sekitar 20% dari total nilai yang dicuri pada tahun 2025, turun dari 44% pada tahun 2024, namun masih mencerminkan kerusakan skala besar.

Jumlah insiden hampir tiga kali lipat dari 54.000 pada tahun 2022 menjadi 158.000 pada tahun 2025. Selama periode yang sama, jumlah korban unik berlipat ganda dari sekitar 40.000 menjadi setidaknya 80.000. Peningkatan ini kemungkinan mencerminkan adopsi pengguna yang lebih luas dari aset yang disimpan sendiri. Misalnya, Solana, salah satu rantai dengan dompet pribadi paling aktif, mencatat sekitar 26.500 pengguna yang terkena dampak, jauh lebih banyak daripada jaringan lain.

Namun, total nilai dolar yang hilang oleh individu turun dari $1,5 miliar pada tahun 2024 menjadi $713 juta pada tahun 2025. Ini menunjukkan penyerang menyebarkan upaya di banyak korban lebih banyak sambil mengekstraksi jumlah yang lebih kecil per akun, berpotensi untuk mengurangi risiko deteksi dan mengeksploitasi pengguna yang kurang canggih.

Metrik kejahatan tingkat jaringan menerangi rantai mana yang saat ini menghadirkan risiko pengguna terbesar. Pada tahun 2025, ketika mengukur pencurian per 100.000 dompet, Ethereum dan Tron menunjukkan tingkat kejahatan tertinggi. Skala luas Ethereum menggabungkan jumlah insiden tinggi dengan risiko per-dompet yang meningkat, sedangkan Tron menampilkan tingkat pencurian yang relatif tinggi meskipun basis aktif yang lebih kecil. Sebaliknya, Base dan Solana menunjukkan tingkat yang lebih rendah meskipun komunitas pengguna mereka cukup besar.

Perbedaan ini menunjukkan bahwa kompromi dompet pribadi tidak didistribusikan secara merata di seluruh ekosistem. Faktor-faktor seperti demografi pengguna, jenis aplikasi dominan, infrastruktur kriminal lokal, dan tingkat pendidikan kemungkinan mempengaruhi di mana scammer dan operator malware fokus pada upaya mereka.

Peretasan DeFi menyimpang dari tren total value locked

Sektor keuangan terdesentralisasi menunjukkan perbedaan yang mencolok antara pertumbuhan pasar dan hasil keamanan. Data dari 2020 hingga 2025 mengkonfirmasi tiga fase yang jelas dalam hubungan antara total value locked (TVL) DeFi dan kerugian terkait peretasan.

Pada Fase 1, dari 2020 hingga 2021, TVL dan kerugian meningkat beriringan saat booming DeFi awal menarik baik modal maupun penyerang canggih. Fase 2, mencakup 2022 hingga 2023, melihat baik TVL maupun kerugian mundur saat pasar mendingin. Namun, Fase 3, mencakup 2024 dan 2025, menandai pemutusan struktural: TVL telah pulih dari level rendah 2023, tetapi volume peretasan tetap relatif teredam.

Perbedaan ini menyiratkan bahwa peningkatan keamanan DeFi mulai memiliki efek yang dapat diukur. Selain itu, peningkatan simultan serangan dompet pribadi dan peretasan bursa terpusat mengisyaratkan substitusi target, dengan aktor ancaman mengalihkan sumber daya ke area yang dianggap lebih mudah untuk dikompromikan.

Studi kasus: Venus Protocol menyoroti kemajuan defensif

Insiden Venus Protocol pada September 2025 menggarisbawahi bagaimana pertahanan berlapis dapat secara bermakna mengubah hasil. Penyerang menggunakan klien Zoom yang dikompromikan untuk mendapatkan pijakan dan memanipulasi pengguna untuk memberikan kontrol delegasi atas akun yang memegang $13 juta dalam aset.

Dalam kondisi DeFi sebelumnya, akses seperti itu mungkin telah menghasilkan kerugian yang tidak dapat diubah. Namun, Venus telah mengintegrasikan platform pemantauan keamanan hanya sebulan sebelumnya. Platform itu menandai aktivitas mencurigakan sekitar 18 jam sebelum serangan dan mengeluarkan peringatan lain ketika transaksi jahat dikirimkan.

Dalam 20 menit, Venus menjeda protokolnya, menghentikan pergerakan dana. Fungsi parsial kembali setelah sekitar 5 jam, dan dalam 7 jam protokol secara paksa melikuidasi dompet penyerang. Pada tanda 12 jam, semua dana curian telah dipulihkan dan operasi normal dilanjutkan.

Dalam langkah lebih lanjut, tata kelola Venus menyetujui proposal untuk membekukan sekitar $3 juta dalam aset yang masih di bawah kendali penyerang. Lawan akhirnya gagal untuk mendapat untung dan malah mengalami kerugian bersih, menunjukkan kekuatan yang semakin besar dari tata kelola on-chain, pemantauan, dan kerangka kerja respons insiden.

Yang mengatakan, kasus ini tidak boleh menimbulkan kesenangan. Ini menunjukkan apa yang mungkin ketika protokol berinvestasi lebih awal dalam pemantauan dan playbook yang dilatih, tetapi banyak platform DeFi masih kekurangan kemampuan yang sebanding atau rencana kontinjensi yang jelas.

Implikasi untuk 2026 dan lingkungan ancaman masa depan

Data 2025 menggambarkan ekosistem DPRK yang sangat adaptif, di mana operasi yang lebih sedikit masih dapat memberikan hasil rekor. Insiden Bybit, dikombinasikan dengan kompromi skala besar lainnya, menunjukkan bagaimana satu kampanye yang berhasil dapat mempertahankan kebutuhan pendanaan untuk periode yang diperpanjang sementara kelompok fokus pada pencucian dan keamanan operasional.

Selain itu, profil unik pencurian kripto DPRK relatif terhadap aktivitas ilegal lainnya menawarkan peluang deteksi yang berharga. Preferensi mereka untuk ukuran transfer tertentu, ketergantungan berat pada jaringan berbahasa Mandarin tertentu, dan siklus pencucian 45 hari yang khas dapat membantu bursa, perusahaan analitik, dan regulator menandai perilaku mencurigakan lebih awal.

Saat peretas kripto Korea Utara terus menggunakan aset digital untuk membiayai prioritas negara dan menghindari sanksi, industri harus menerima bahwa musuh ini beroperasi di bawah insentif yang berbeda dari penjahat yang dimotivasi secara finansial biasa. Kinerja rekor rezim tahun 2025, dicapai dengan perkiraan 74% lebih sedikit serangan yang diketahui, menunjukkan bahwa banyak operasi mungkin masih tidak terdeteksi.

Melihat ke depan untuk 2026, tantangan utama adalah mengidentifikasi dan mengganggu operasi berdampak tinggi ini sebelum pelanggaran skala Bybit lainnya terjadi. Memperkuat kontrol di tempat terpusat, mengeraskan dompet pribadi, dan memperdalam kerja sama dengan penegak hukum akan sangat penting untuk menahan kampanye negara-bangsa dan gelombang kejahatan kripto yang lebih luas.

Singkatnya, 2025 mengkonfirmasi bahwa sementara pertahanan meningkat di area seperti DeFi, aktor canggih seperti DPRK dan pencuri dompet skala besar terus mengeksploitasi kelemahan struktural, membuat respons global yang terkoordinasi lebih mendesak dari sebelumnya.