Serangan Kripto Teratas 2025: Insiden yang Mengekspos Titik Lemah Industri

Tahun 2025 merupakan tahun besar bagi industri kripto, namun ini datang sebagai pedang bermata dua ketika melihat gambaran yang lebih besar.

Di satu sisi, industri ini matang dalam hal adopsi institusional, dengan jumlah merger dan akuisisi yang mencatat rekor.

Ada 267 transaksi dengan total $8,6 miliar, menjadikannya tahun yang menguntungkan bagi mereka yang berada di sisi perdagangan yang tepat. 

Di sisi lain, kerugian dari peretasan dan eksploitasi mencapai rekor tertinggi, mengekspos seberapa jauh ruang ini masih harus berkembang di front keamanan.

Data dari perusahaan keamanan seperti SlowMist dan CertiK melaporkan bahwa jumlah insiden keamanan turun 50% dari tahun ke tahun, dari lebih dari 400 pada tahun 2024 menjadi sekitar 200 pada tahun 2025. 

Namun tingkat kerugian finansial menceritakan kisah yang berbeda. Total dana yang dicuri melonjak 55% dibandingkan tahun sebelumnya, naik menjadi lebih dari $3,4 miliar.

Meskipun kebersihan keamanan dasar, seperti audit kontrak pintar rutin dan deteksi bug otomatis, berhasil menghilangkan sasaran mudah yang biasa ditargetkan peretas amatir, sifat serangan telah berubah secara fundamental.

Penyerang modern tidak lagi menebarkan jaring luas untuk kerentanan protokol kecil.

Sebaliknya, kelompok profesional, terutama Lazarus Group Korea Utara, menghabiskan berbulan-bulan untuk pengintaian dan infiltrasi infrastruktur untuk melaksanakan serangan tunggal yang dahsyat.

Industri ini sekarang menghadapi krisis kualitas daripada kuantitas, di mana lebih sedikit serangan terjadi, tetapi yang terjadi jauh lebih merusak.

Saat tahun 2026 dimulai, berikut adalah tinjauan empat insiden keamanan terbesar tahun 2025, yang mengekspos banyak titik lemah industri.

Bybit Exchange: $1,5 miliar

Insiden terbesar tahun ini terjadi di bursa kripto Bybit yang berbasis di Dubai, yang menjadi pencurian terkonfirmasi terbesar yang pernah dikaitkan dengan Lazarus Group yang didukung negara Korea Utara.

Penyerang menghabiskan berbulan-bulan membangun kepercayaan dengan seorang pengembang di Safe{Wallet}, penyedia infrastruktur multisig terkemuka, sebelum mereka berhasil memperkenalkan proyek Docker berbahaya yang diam-diam membuat backdoor persisten.

Setelah masuk, penyerang menyuntikkan JavaScript berbahaya ke dalam kode frontend antarmuka dompet Safe yang digunakan oleh tim penandatanganan internal Bybit.

Saat eksekutif Bybit masuk untuk menandatangani apa yang tampak sebagai transaksi internal rutin, antarmuka pengguna menampilkan alamat dompet dan jumlah yang benar.

Namun, di tingkat kode, alamat tujuan secara diam-diam diganti dengan dompet yang dikendalikan penyerang.

Sekitar $1,46 miliar hingga $1,5 miliar ETH dikuras, berdampak pada sejumlah besar pengguna yang terpapar pada salah satu kegagalan keamanan paling parah yang pernah dilihat industri.

Insiden ini mengekspos titik lemah kritis industri seputar kepercayaan UI, memperkuat bahwa dompet perangkat keras dan ambang batas multisig menawarkan perlindungan yang sedikit jika lapisan perangkat lunak yang menyajikan detail transaksi telah disusupi.

Paus Bitcoin OG: $330 juta

Pada bulan April, paus Bitcoin era Satoshi yang telah memegang koin mereka tidak tersentuh selama lebih dari satu dekade menjadi korban serangan rekayasa sosial yang menghancurkan yang mengakibatkan hilangnya 3.520 BTC, senilai sekitar $330,7 juta pada saat itu.

Insiden ini terukir dalam sejarah sebagai pencurian individu terbesar dalam sejarah industri, seperti yang dibingkai oleh detektif on-chain ZachXBT.

Tidak seperti serangan yang menargetkan kode, serangan ini mempersenjatai deepfake bertenaga AI dan kloning suara untuk melewati pertahanan psikologis korban selama beberapa bulan.

Para pelaku, yang diduga merupakan sindikat terorganisir yang beroperasi dari pusat panggilan canggih di Camden, Inggris, menggunakan nama samaran seperti "Nina" dan "Mo", membangun rasa aman yang salah dengan korban lanjut usia dengan menyamar sebagai penasihat hukum dan teknis tepercaya.

Akhirnya, penyerang mengarahkan korban ke portal "verifikasi keamanan" palsu yang meniru situs dukungan resmi penyedia dompet terkenal, di mana korban dimanipulasi untuk memasukkan kredensial pribadi mereka atau menandatangani transaksi tertentu di perangkat keras mereka dengan kedok "peningkatan akun." Dana segera dipindahkan.

Dana dengan cepat dicuci melalui "peel chains" dan dikonversi menjadi koin privasi Monero (XMR), menyebabkan lonjakan harga Monero sebesar 50% karena permintaan mendadak yang besar.

Insiden ini akhirnya mengekspos kerentanan ekstrem individu bernilai tinggi yang tidak memiliki layanan kustodian tingkat institusional, menunjukkan bahwa tidak ada jumlah enkripsi yang dapat melindungi aset jika lapisan manusia secara efektif dimanipulasi.

Eksploitasi Cetus Protocol: $223 juta

Cetus Protocol, yang merupakan bursa terdesentralisasi terbesar di jaringan Sui, dieksploitasi pada bulan Mei karena kegagalan teknis dalam logika kontrak pintarnya.

Eksploiter mengidentifikasi cacat aritmatika kritis dalam perpustakaan matematika sumber terbuka bersama yang digunakan untuk perhitungan likuiditas, yang memungkinkan mereka menguras sekitar $223 juta dalam aset likuiditas.

Secara khusus, fungsi dirancang untuk menskalakan angka titik tetap dengan aman dengan menggesernya ke kiri sebesar 64 bit.

Namun, ia mengandung kesalahan logika dalam pemeriksaan overflow-nya. Perbandingan menggunakan mask yang terlalu besar, yang mengizinkan pergeseran bitwise yang seharusnya ditolak.

Dengan menggunakan pinjaman kilat untuk membuat posisi penyedia likuiditas dengan rentang tick yang sangat sempit, penyerang memicu overflow aritmatika, lebih tepatnya pemotongan bitwise, yang menyebabkan kontrak menghitung deposit yang diperlukan hanya 1 unit token sambil tetap mengkredit penyerang dengan likuiditas besar.

Penyerang kemudian hanya menghapus likuiditas, mengklaim cadangan nyata pool berdasarkan akuntansi yang salah dipompa.

Meskipun validator Sui berhasil mengoordinasikan pembekuan darurat pada $162 juta aset sebelum bisa dijembatani keluar, kerugian bersih tetap menjadi salah satu yang terbesar pada tahun 2025.

Ini membuktikan kepada ekosistem keuangan terdesentralisasi bahwa bahasa modern yang berorientasi keamanan seperti Move tidak secara inheren kebal terhadap bug matematika, dan memperkuat bahwa ketegasan matematis tetap menjadi persyaratan yang tidak dapat dinegosiasikan dalam desain protokol.

Balancer V2: $128 juta

Balancer mengalami eksploitasi rekayasa ekonomi yang canggih di beberapa chain (Ethereum, Arbitrum, dan Base) pada bulan November, karena penyerang berhasil mempersenjatai perbedaan kecil dalam bagaimana protokol menangani pembulatan presisi selama pertukaran internal.

Composable Stable Pools Balancer memanfaatkan arah pembulatan berbeda untuk meningkatkan dan menurunkan jumlah token untuk melindungi Invarian protokol, yang berfungsi sebagai jangkar matematis untuk algoritma StableSwap, memastikan pool mempertahankan nilai total konstan dan keseimbangan selama pertukaran aset.

Penyerang menemukan bahwa dengan mendorong saldo pool ke rentang 8 hingga 9 Wei tertentu, mereka dapat menyebabkan pembagian bilangan bulat turun hingga 10% nilai melalui kesalahan pembulatan ke bawah.

Selanjutnya, menggunakan kontrak otomatis, penyerang memulai transaksi tunggal yang berisi lebih dari 65 mikro-swap.

Setiap swap berulang kali memangkas beberapa Wei nilai, memperparah kehilangan presisi hingga akuntansi internal pool benar-benar terdistorsi.

Akibatnya, mereka dapat memanfaatkan kehilangan presisi yang diperparah hingga akuntansi internal pool benar-benar terdistorsi, setelah itu mereka dapat mencetak token LP dengan harga yang ditekan dan menukarnya dengan nilai penuh secara instan, mengekstrak jutaan tanpa memicu pemeriksaan keamanan protokol apa pun.

Postingan Peretasan kripto teratas tahun 2025: insiden yang mengekspos titik lemah industri pertama kali muncul di Invezz