Lebih dari $4 miliar hilang akibat eksploitasi kripto dalam setahun terakhir

Pada tahun 2025, eksploitasi kripto dimulai dengan lambat, tetapi akhirnya mengakumulasi jumlah rekor lebih dari $4 miliar. Berdasarkan data peringatan PeckShield, tahun ini mencatat rekor baru dan pergeseran dalam jenis eksploitasi. 

Eksploitasi dan peretasan kripto meningkat pada tahun 2025, menghasilkan tahun pemecah rekor untuk pencurian kripto. 12 bulan terakhir ditandai dengan serangan yang sangat terarah terhadap kerentanan sistemik pada bursa terpusat dan protokol kontrak pintar. 

Pendekatan lain untuk mencuri kripto termasuk malware, rekayasa sosial, dan menargetkan pemegang individu. 

PeckShield memperkirakan total kerugian untuk tahun lalu sebesar $4,04 miliar, naik 34,2% secara year-on-year. Untuk tahun 2024, estimasi akhir adalah kerugian sebesar $3,01 miliar. Penambahan terbesar untuk hasil akhir 2025 adalah peretasan Bybit, yang menyebabkan kerugian lebih dari $1,4 miliar, sebagian besar dari pencurian ETH. 

Secara total, peretasan kripto mencuri $2,67 miliar, meningkat 24,2%. Peningkatan penipuan bahkan lebih dramatis, mencuri $1,37 miliar, naik 64,2% dibandingkan tahun sebelumnya. Pelacakan dan pembekuan token berhasil menyelamatkan hanya $334,9 juta, turun dari $488,5 juta pada tahun 2024.

Korea Utara mengambil hingga 52% dari hasil Web3

Peretas DPRK terus menargetkan proyek Web3, mengambil 52% dari hasil dari jenis proyek tersebut, berdasarkan data Hacken. Eksploitasi DeFi meningkat secara signifikan pada paruh kedua tahun 2025, dengan serangan terhadap DEX baru. Kali ini, serangan bridging lebih sedikit, karena bridge tidak terlalu penting bagi ekosistem. 

Eksploitasi DeFi pada tahun 2025 dapat mengandalkan sistem yang jauh lebih kuat untuk menukar atau menyembunyikan dana. Tornado Cash tetap menjadi mixer utama untuk ETH, sementara peretas juga mengandalkan routing DEX standar untuk menukar dana dengan cepat.

Kerentanan kontrak pintar mencakup sekitar 12,8% dari semua eksploitasi, dan pencurian bergantung pada jumlah nilai yang terkunci dalam berbagai protokol. Bahkan vault atau kontrak kecil menjadi target ketika kerentanan yang diketahui dan relatif mudah ditemukan, karena beberapa proyek Web3 dikloning dari kontrak sebelumnya.

Eksploitasi kripto menargetkan tim pengembang Web3

Alih-alih serangan luas dengan tautan berbahaya, pelaku ancaman menargetkan pemegang dompet bernilai tinggi secara langsung. Tim Web3 sering dipilih untuk akses ke vault bernilai tinggi dan dompet token. 

Salah satu vektor serangan terbaru adalah proyek yang terdengar sah, yang kemudian memasang iklan untuk merekrut pengembang Web3. Proses wawancara kemudian mengandalkan malware untuk menginfeksi komputer pribadi dan perusahaan, mendapatkan akses ke dompet. 

Malware biasanya diunduh melalui tautan rapat yang sah, memungkinkannya mengakses kunci pribadi yang ada di mesin yang terinfeksi. 

Penyerang sering dapat mengakses mesin proyek Web3 atau bursa, mendapatkan akses ke dompet atau hak admin untuk mengubah kontrak pintar.

Kontrol akses adalah salah satu sumber utama eksploitasi, dengan hingga 53% peretasan dikaitkan dengan beberapa bentuk akses langsung ke dompet multisig. Pencurian yang tersisa bergantung pada kesalahan pengguna, serta kerentanan kontrak pintar, terutama pencetakan token DeFi yang tidak sah, penarikan, atau bridging. 

Peretasan besar pertama untuk tahun 2026, pada protokol TrueBit, menggunakan model serupa, di mana peretas mencetak dan menarik jumlah token yang tidak sah, mencuri hingga $26 juta.

Jangan hanya membaca berita kripto. Pahami itu. Berlangganan newsletter kami. Gratis.