Mayoritas eksploitasi kripto di tahun mendatang tidak akan disebabkan oleh bug zero-day di protokol favorit Anda, kata para ahli keamanan kripto. Ini akan disebabkan oleh Anda.
Itu karena 2025 telah menunjukkan bahwa mayoritas peretasan tidak dimulai dengan kode berbahaya; mereka dimulai dengan percakapan, kata Nick Percoco, chief security officer bursa kripto Kraken, kepada Cointelegraph.
Dari Januari hingga awal Desember 2025, data dari Chainalysis menunjukkan bahwa industri kripto menyaksikan pencurian lebih dari $3,4 miliar, dengan kompromi Bybit di bulan Februari menyumbang hampir setengah dari total tersebut.
Lebih dari $3,4 miliar dicuri oleh pelaku jahat tahun ini. Sumber: ChainalysisSelama serangan, pelaku jahat mendapatkan akses melalui rekayasa sosial, menyuntikkan payload JavaScript berbahaya yang memungkinkan mereka mengubah detail transaksi dan menguras dana.
Apa itu rekayasa sosial?
Rekayasa sosial adalah metode serangan siber yang memanipulasi orang untuk mengungkapkan informasi rahasia atau melakukan tindakan yang membahayakan keamanan.
Percoco mengatakan medan perang untuk keamanan kripto akan ada di pikiran, bukan dunia maya.
Tip 1: Gunakan otomasi jika memungkinkan
Kompromi rantai pasokan juga terbukti menjadi tantangan utama tahun ini, menurut Percoco, karena pelanggaran yang tampaknya kecil dapat terbukti menghancurkan di kemudian hari, karena "ini adalah menara Jenga digital, dan integritas setiap blok penting."
Di tahun mendatang, Percoco merekomendasikan mengurangi titik kepercayaan manusia melalui tindakan seperti mengotomatiskan pertahanan jika memungkinkan dan memverifikasi setiap interaksi digital melalui autentikasi dalam "pergeseran dari pertahanan reaktif ke pencegahan proaktif."
"Di kripto khususnya, mata rantai terlemah tetaplah kepercayaan manusia, diperkuat oleh keserakahan dan FOMO. Itulah celah yang dieksploitasi penyerang setiap kali. Tetapi tidak ada teknologi yang menggantikan kebiasaan baik," tambahnya.
Tip 2: Isolasi infrastruktur
Lisa, pemimpin operasi keamanan dari SlowMist, mengatakan pelaku jahat semakin menargetkan ekosistem pengembang tahun ini, yang, dikombinasikan dengan kebocoran kredensial cloud, menciptakan peluang untuk menyuntikkan kode berbahaya, mencuri rahasia, dan meracuni pembaruan perangkat lunak.
"Pengembang dapat mengurangi risiko ini dengan menyematkan versi ketergantungan, memverifikasi integritas paket, mengisolasi lingkungan build, dan meninjau pembaruan sebelum deployment," katanya.
Memasuki 2026, Lisa memprediksi ancaman paling signifikan kemungkinan akan berasal dari operasi pencurian kredensial dan rekayasa sosial yang semakin canggih.
Sumber: SlowMist"Pelaku ancaman sudah memanfaatkan deepfake yang dihasilkan AI, phishing yang disesuaikan, dan bahkan tes perekrutan pengembang palsu untuk mendapatkan kunci dompet, kredensial cloud, dan token penandatanganan. Serangan ini menjadi lebih otomatis dan meyakinkan, dan kami berharap tren ini akan berlanjut," katanya.
Untuk tetap aman, saran Lisa untuk organisasi adalah menerapkan kontrol akses yang kuat, rotasi kunci, autentikasi berbasis perangkat keras, segmentasi infrastruktur, dan deteksi dan pemantauan anomali.
Individu harus mengandalkan dompet perangkat keras, menghindari interaksi dengan file yang tidak terverifikasi, memeriksa silang identitas melalui saluran independen, dan memperlakukan tautan atau unduhan yang tidak diminta dengan hati-hati.
Tip 3: Proof of personhood untuk melawan deepfake AI
Steven Walbroehl, co-founder dan chief technology officer perusahaan keamanan siber blockchain Halborn, memprediksi rekayasa sosial yang ditingkatkan AI akan memainkan peran penting dalam buku pedoman peretas kripto.
Pada bulan Maret, setidaknya tiga pendiri kripto melaporkan menggagalkan upaya dari peretas Korea Utara yang diduga untuk mencuri data sensitif melalui panggilan Zoom palsu yang menggunakan deepfake.
Walbroehl memperingatkan bahwa peretas menggunakan AI untuk membuat serangan yang sangat dipersonalisasi dan sadar konteks yang melewati pelatihan kesadaran keamanan tradisional.
Untuk melawannya, dia menyarankan menerapkan bukti kriptografi tentang kepribadian untuk semua komunikasi penting, autentikasi berbasis perangkat keras dengan pengikatan biometrik, sistem deteksi anomali yang menetapkan pola transaksi normal, dan menetapkan protokol verifikasi menggunakan rahasia atau frasa yang dibagikan sebelumnya.
Tip 4: Jaga kripto Anda untuk diri sendiri
Serangan wrench, atau serangan fisik terhadap pemegang kripto, juga merupakan tema menonjol di 2025, dengan setidaknya 65 kejadian yang tercatat, menurut daftar GitHub Bitcoin OG dan cypherpunk Jameson Lopps. Puncak pasar bullish terakhir pada 2021 sebelumnya merupakan tahun terburuk yang tercatat, dengan total 36 serangan yang tercatat
Seorang pengguna X dengan nama Beau, mantan petugas CIA, mengatakan dalam postingan X pada 2 Desember bahwa serangan wrench masih relatif jarang, tetapi dia masih merekomendasikan pengguna kripto mengambil tindakan pencegahan dengan tidak berbicara tentang kekayaan atau mengungkapkan kepemilikan kripto atau gaya hidup mewah secara online sebagai awal.
Sumber: BeauDia juga menyarankan menjadi "target keras" dengan menggunakan alat pembersihan data untuk menyembunyikan informasi pribadi yang bersifat pribadi, seperti alamat rumah, dan berinvestasi dalam pertahanan rumah seperti kamera keamanan dan alarm.
Tip 5: Jangan hemat pada tips keamanan yang sudah teruji
David Schwed, seorang ahli keamanan yang telah bekerja di Robinhood sebagai chief information security officer, mengatakan tip teratasnya adalah berpegang pada bisnis yang memiliki reputasi baik yang menunjukkan praktik keamanan yang waspada, termasuk audit keamanan pihak ketiga yang ketat dan teratur dari seluruh stack mereka, dari smart contract hingga infrastruktur.
Namun, terlepas dari teknologinya, Schwed mengatakan pengguna harus menghindari menggunakan kata sandi yang sama untuk beberapa akun, memilih untuk menggunakan token perangkat keras sebagai metode autentikasi multifaktor dan melindungi frasa seed dengan mengenkripsinya dengan aman atau menyimpannya secara offline di lokasi fisik yang aman.
Dia juga menyarankan menggunakan dompet perangkat keras khusus untuk kepemilikan yang signifikan dan meminimalkan kepemilikan di bursa.
Terkait: Spear phishing adalah taktik utama peretas Korea Utara: Cara tetap aman
"Keamanan bergantung pada lapisan interaksi. Pengguna harus tetap sangat waspada saat menghubungkan dompet perangkat keras ke aplikasi web baru dan harus memvalidasi secara menyeluruh data transaksi yang ditampilkan di layar perangkat keras sebelum menandatangani. Ini mencegah 'penandatanganan buta' kontrak berbahaya," tambah Schwed.
Lisa mengatakan tips terbaiknya adalah hanya menggunakan perangkat lunak resmi, menghindari interaksi dengan URL yang tidak terverifikasi, dan memisahkan dana di seluruh konfigurasi hot, warm, dan cold.
Untuk melawan kecanggihan penipuan yang berkembang seperti rekayasa sosial dan phishing, Percoco dari Kraken merekomendasikan "skeptisisme radikal" setiap saat, dengan memverifikasi keaslian dan menganggap setiap pesan sebagai tes kesadaran.
"Dan satu kebenaran universal tetap: tidak ada perusahaan, layanan, atau peluang yang sah yang akan meminta frasa seed atau kredensial login Anda. Saat mereka melakukannya, Anda sedang berbicara dengan penipu," tambah Percoco.
Sementara itu, Walbroehl merekomendasikan menghasilkan kunci menggunakan generator angka acak yang aman secara kriptografis, pemisahan ketat antara lingkungan pengembangan dan produksi, audit keamanan reguler dan perencanaan respons insiden dengan latihan rutin.
Majalah: Ketika privasi dan hukum AML bertentangan: Pilihan mustahil proyek kripto
Sumber: https://cointelegraph.com/news/crypto-security-human-layer-threats-2026-expert-tips?utm_source=rss_feed&utm_medium=feed&utm_campaign=rss_partner_inbound
