Laporan Skynet Hack3D Menyoroti Keamanan Web3 di 2025

• Pelaku ancaman siber berevolusi seiring industri, menyempurnakan eksploitasi teknis dan teknik rekayasa sosial.
• Menurut data industri, total kerugian pada tahun 2025 mencapai $3,35 miliar, menandai peningkatan 37% dibandingkan dengan $2,45 miliar pada tahun 2024.

Ekosistem Web3 memasuki tahun 2025 dengan momentum yang diperbarui, didorong oleh kondisi makroekonomi yang membaik, kepercayaan investor yang lebih kuat, dan iklim politik yang jauh lebih mendukung di Amerika Serikat. Pemerintahan AS yang baru dengan cepat memposisikan aset digital sebagai sektor inovasi strategis daripada anomali regulasi, mengirimkan sinyal awal bahwa teknologi blockchain akan didorong daripada dibatasi. Pergeseran ini memulihkan kepercayaan di antara pembangun, institusi, dan modal ventura, membantu aplikasi terdesentralisasi berkembang lebih dalam ke pembayaran, game, aset yang ditokenisasi, solusi identitas, dan kasus penggunaan keuangan dunia nyata.

Namun, seiring aktivitas meningkat di seluruh ekosistem, lanskap ancaman juga meningkat. Pelaku ancaman siber berevolusi seiring industri, menyempurnakan eksploitasi teknis dan teknik rekayasa sosial. Sementara inovasi melonjak, tahun 2025 menjadi pengingat nyata bahwa pertumbuhan dan risiko terus bergerak paralel dalam Web3.

Menurut data industri, total kerugian pada tahun 2025 mencapai $3,35 miliar, menandai peningkatan 37% dibandingkan dengan $2,45 miliar pada tahun 2024. Pada pandangan pertama, angka-angka tersebut menunjukkan kemunduran dramatis dalam kondisi keamanan. Namun, pengamatan lebih dekat mengungkapkan gambaran yang lebih bernuansa. Satu insiden tunggal, eksploitasi Bybit, menyumbang sekitar $1,45 miliar dari kerugian tahun tersebut. Ketika outlier ini dikecualikan, dana yang dicuri secara keseluruhan akan menurun dari tahun ke tahun, menggarisbawahi pergeseran kritis dalam perilaku penyerang.

Daripada mengandalkan volume tinggi eksploitasi berukuran menengah, pelaku ancaman semakin memusatkan sumber daya ke dalam operasi yang lebih sedikit tetapi jauh lebih menghancurkan. Insiden Bybit menunjukkan kehadiran yang semakin besar dari musuh yang didanai dengan baik dan sangat terkoordinasi yang mampu melaksanakan serangan kompleks berjangka panjang. Tren ini menunjukkan bahwa meskipun kebersihan keamanan dasar membaik di banyak protokol, risiko sistemik tetap ada, terutama di tingkat infrastruktur dan rantai pasokan.

Ketika mengkategorikan vektor serangan, phishing muncul sebagai ancaman paling umum pada tahun 2025. Tidak termasuk pelanggaran rantai pasokan Bybit, phishing menyumbang $722,9 juta yang dicuri di 248 insiden, melampaui kerentanan kode dan serangan infrastruktur dalam frekuensi. Eksploitasi terkait kode mengikuti dengan dekat, menghasilkan $554,6 juta di 240 insiden, meskipun hampir setengah dari dana tersebut akhirnya dibekukan atau dikembalikan, menyoroti koordinasi respons yang lebih baik dan kemampuan intervensi on-chain.

Kecerdasan buatan memainkan peran penentu dalam membentuk lingkungan ancaman yang berkembang ini. Di sisi defensif, pengembang semakin mengandalkan alat bertenaga AI untuk menghasilkan kasus uji, mengidentifikasi inefisiensi, meningkatkan verifikasi formal, dan merampingkan alur kerja audit. Sebaliknya, penyerang mengadopsi teknologi yang sama dalam skala besar. Antarmuka phishing yang dihasilkan AI menjadi hampir tidak dapat dibedakan dari dApps dan prompt dompet yang sah, sementara kampanye multibahasa otomatis memperluas jangkauan ke komunitas yang sebelumnya terisolasi.

Pelaku ancaman juga memanfaatkan AI untuk pengintaian, mengikis data on-chain dan saluran obrolan pribadi untuk mengidentifikasi target bernilai tinggi. Serangan peniruan identitas menjadi lebih meyakinkan, dengan akun pendiri palsu, suara sintetis, dan video deepfake mengikis sinyal kepercayaan tradisional. Mungkin yang paling mengkhawatirkan adalah kecepatan replikasi eksploitasi, karena alat AI memungkinkan penyerang menyalin dan menerapkan pola serangan yang berhasil dalam hitungan hari atau bahkan jam.

Kejelasan regulasi membaik secara signifikan sepanjang tahun 2025, membantu menstabilkan ekosistem yang lebih luas. Di AS, GENIUS Act menetapkan kerangka kerja awal untuk pengawasan stablecoin dan transparansi aset digital, sambil menandakan sikap yang lebih kooperatif terhadap inovasi. Secara global, Uni Eropa maju menuju implementasi MiCA penuh, meningkatkan standar untuk pengungkapan dan perlindungan konsumen. Sementara itu, yurisdiksi seperti Singapura dan Hong Kong memperluas sandbox aset digital, dan negara-negara termasuk Brasil dan Kolombia berkembang menuju kerangka tokenisasi komoditas yang diatur.

Perkembangan ini berkontribusi pada tata kelola yang lebih terstruktur dan memengaruhi bagaimana proyek mendekati kepatuhan, arsitektur, dan keamanan operasional. Seiring regulasi matang, keamanan semakin menjadi prasyarat untuk akses pasar daripada fitur opsional.

Salah satu insiden paling signifikan tahun ini terjadi pada bulan Februari, ketika Bybit mengalami pencurian kripto terbesar dalam sejarah. Serangan yang dikaitkan dengan Lazarus Group tidak mengeksploitasi sistem internal Bybit secara langsung. Sebaliknya, penyerang mengkompromikan mesin pengembang di Safe{Wallet}, penyedia dompet multi-signature pihak ketiga. Kode berbahaya yang disuntikkan ke antarmuka dompet mengubah detail transaksi secara tidak terlihat, menyebabkan penandatangan yang berwenang tanpa sadar menyetujui transfer penipuan. Insiden tersebut mengungkap risiko yang semakin besar terkait dengan alat yang dipercaya dan ketergantungan rantai pasokan.

Di luar pelanggaran berskala besar, pengguna individu menghadapi risiko yang meningkat. Phishing berbasis AI, peniruan identitas deepfake, dan serangan rekayasa sosial yang ditargetkan melonjak sepanjang tahun. Banyak kerugian tidak dilaporkan, terutama yang terkait dengan penipuan off-chain seperti skema pig-butchering dan penipuan investasi, menunjukkan bahwa kerugian pengguna aktual kemungkinan jauh lebih tinggi daripada angka yang tercatat.

Saat tahun 2026 mendekat, lintasan keamanan Web3 menjadi lebih jelas. Penyerang diperkirakan akan lebih menyempurnakan peniruan identitas dan kampanye phishing bertenaga AI, sementara serangan rantai pasokan mungkin menjadi lebih canggih. Pada saat yang sama, regulasi yang lebih kuat, pemantauan real-time, dan pertahanan berbantuan AI menawarkan jalur menuju pengurangan kerugian yang dapat dicegah.

2025 di CertiK

2025 menandai tahun pencapaian penting bagi CertiK, ditandai dengan penelitian yang diperluas, integrasi ekosistem yang lebih dalam, dan kepemimpinan berkelanjutan dalam keamanan Web3. Berikut adalah beberapa pencapaian utama yang membentuk tahun ini:

• Mengintegrasikan Token Scan dengan ChainGPT dan Binance Wallet, memperluas analisis risiko token real-time langsung ke alat Web3 yang banyak digunakan.
• Menerbitkan Skynet Stablecoin Spotlight Report: H1 2025, memberikan tinjauan mendalam tentang lanskap stablecoin, kerentanan utama, dan bagaimana Skynet Security Score dapat digunakan untuk menilai risiko stablecoin.
• Merilis 2025 Skynet RWA Security Report, menyediakan kriteria uji tuntas terstruktur dan kerangka tinjauan risiko komprehensif untuk protokol aset dunia nyata (RWA).
• Meluncurkan 2025 Skynet Korea Web3 Security & Ecosystem Report, menawarkan wawasan tentang dinamika pasar Web3 Korea Selatan dan profil platform terkemuka di wilayah tersebut.
• Menerbitkan 2025 Skynet Digital Asset Treasuries (DAT) Report, memperkenalkan Skynet DAT Security & Compliance Framework untuk mengevaluasi integritas operasional di luar metrik tingkat permukaan.
• Merilis Skynet U.S. Digital Asset Policy Report, merangkum dasar hukum, implikasi struktur pasar, dan persyaratan operasional dari GENIUS Act dan CLARITY Act di Amerika Serikat.
• Melakukan penilaian keamanan skala penuh dari proses mint dan burn USDCx di Canton Network, termasuk audit kontrak pintar Daml on-chain dan pengujian penetrasi infrastruktur off-chain.
• Meluncurkan CertiK SkyNode, layanan node validator yang dirancang untuk meningkatkan keamanan jaringan, keandalan, dan kinerja di beberapa ekosistem blockchain publik.
• Menerbitkan bersama penelitian dengan AntChain Ant Group (Ant Dense Computing) yang berfokus pada verifikasi formal komponen inti dalam sistem operasi Asterinas.
• Memperkenalkan kerangka kerja LiDO, dipresentasikan oleh Co-Founder CertiK Profesor Shao Zhong, mengatasi tantangan keamanan kritis dalam mekanisme konsensus Byzantine Fault Tolerant (BFT).
• Mengamankan dua hibah dari Ethereum Foundation, memperkuat posisi kepemimpinan CertiK dalam penelitian verifikasi formal zkEVM.
• Meluncurkan leaderboard Skynet, platform peringkat berfokus keamanan yang dirancang untuk mengevaluasi dan membandingkan keamanan proyek kripto dan Web3.
• Merilis leaderboard showcase khusus ekosistem untuk mendukung pertumbuhan Layer 1 strategis, termasuk leaderboard khusus untuk BNB Chain dan SUI..

Dalam lingkungan yang berkembang pesat ini, kesuksesan jangka panjang akan bergantung pada integrasi keamanan ke setiap lapisan pengembangan Web3. Sebagai penyedia layanan keamanan Web3 terbesar, CertiK terus memainkan peran sentral dalam melindungi ekosistem, mendukung ribuan proyek, dan memperkuat kepercayaan saat teknologi blockchain bergerak lebih dekat ke adopsi arus utama.