Pada dini hari tanggal 20 September, bursa cryptocurrency Singapura BingX mengonfirmasi bahwa telah terjadi pelanggaran keamanan. Insiden tersebut mengakibatkan "kerugian aset kecil," menurut pejabat perusahaan. Namun para ahli telah mengatakan bahwa itu bisa mengakibatkan jutaan dolar dicuri. Itu bukan peretasan besar pertama terhadap bursa crypto dalam beberapa tahun terakhir.
Saat pasar meningkat nilainya, begitu juga dengan risiko yang terkait dengannya. Peretas mengejar bursa crypto terpusat karena mereka adalah pintu masuk ke dunia aset digital. Platform ini menyimpan miliaran dana pengguna, menjadikannya sama menariknya dengan bank tradisional pada masa sebelumnya bagi penjahat cyber. Cryptocurrency bersifat terdesentralisasi, dan bursa yang berbeda memiliki tingkat keamanan yang berbeda. Hal ini mengakibatkan beberapa pencurian terbesar dalam sejarah uang.
Peningkatan peretasan bursa menunjukkan kebenaran yang signifikan tentang cryptocurrency: teknologi blockchain dipuji karena aman, tetapi tempat di mana pengguna menyimpan dan memperdagangkan aset mereka masih terbuka untuk diserang. Banyak dari peretasan ini memanfaatkan celah dalam protokol keamanan, kesalahan dalam kode, atau bahkan kelalaian dari karyawan. Jutaan dolar telah dicuri sebagai akibatnya, yang merusak kepercayaan publik dan membuat orang bertanya-tanya apakah crypto akan pernah digunakan secara luas tanpa infrastruktur yang lebih baik.
Sementara skandal BingX terus berkembang, mari kita lihat 10 peretasan terbesar terhadap bursa crypto dalam beberapa tahun terakhir dan bicarakan tentang cacat teknis, efek keuangan, dan pelajaran yang dipetik.
1. Mt. Gox (2014) – Kejatuhan Raksasa
Bursa Mt. Gox Jepang menguasai perdagangan Bitcoin pada awal 2010-an. Itu adalah situs peretasan yang kemungkinan besar paling terkenal dalam sejarah cryptocurrency.
Bursa menangani lebih dari 70% dari semua transaksi Bitcoin di seluruh dunia pada puncaknya. Banyak orang ketakutan ketika Mt. Gox tiba-tiba menghentikan perdagangan pada Februari 2014. Tak lama setelah itu, bursa bangkrut dan menyatakan bahwa 850.000 BTC, yang bernilai $450 juta pada saat itu, telah dicuri. Dalam nilai uang saat ini, jumlah itu akan bernilai miliaran. Jadi bahkan 10 tahun kemudian, ceritanya masih terdengar cukup menakutkan.
Serangan tersebut berlangsung selama beberapa tahun. Peretas secara perlahan mengeluarkan Bitcoin dari dompet Mt. Gox dengan memanfaatkan kekurangan dalam dompet panas perusahaan dan praktik keamanan yang buruk di dalam perusahaan. Masalah utamanya adalah kelemahan dalam sistem verifikasi transaksi bursa. Kelemahan ini, yang disebut "kelenturan transaksi," memungkinkan pencuri untuk mengubah ID transaksi dan mengambil uang tanpa tertangkap.
Mark Karpeles, yang merupakan CEO Mt. Gox, kemudian ditangkap dan didakwa dengan pencurian. Peretasan tersebut masih diingat sebagai pelajaran dalam dunia crypto karena menunjukkan betapa berbahayanya ketika manajemen buruk dan keamanan tidak cukup kuat. Sebagian dari Bitcoin yang dicuri telah ditemukan.
2. Coincheck (2018) – Perampokan NEM $500 Juta
Lebih dari $500 juta dalam bentuk token NEM (XEM) dicuri dari bursa berbasis di Jepang Coincheck pada Januari 2018.
Transaksi NEM lebih rumit daripada transaksi Bitcoin karena mereka perlu disetujui oleh lebih dari satu orang. Tetapi itu tidak membantu. Bagaimana bisa? Sayangnya, Coincheck menyimpan sebagian besar NEM-nya di "dompet panas". Yang mana online dan bisa diretas dengan relatif mudah.
Peretas menyusup ke server Coincheck dan mendapatkan akses ke dompet panas bursa. Satu kekurangan keamanan besar di bursa adalah bahwa dompet multi-tanda tangan tidak digunakan untuk jumlah aset sebesar itu. Setelah mereka masuk, peretas memindahkan NEM ke akun yang berbeda. Meskipun teknologi blockchain tidak dapat diubah, Coincheck tidak dapat membatalkan transaksi karena NEM bersifat terdesentralisasi.
Keterbukaan blockchain NEM membantu polisi menemukan sebagian dari uang yang dicuri, tetapi banyak yang masih hilang. Karena peretasan ini, Coincheck harus membayar kembali pengguna yang terkena dampak dari kantongnya sendiri. Hal ini menyebabkan pengawasan yang lebih ketat terhadap bursa di Jepang oleh pemerintah.
3. Bitfinex (2016) – Teka-Teki Multi-Signature
Bitfinex adalah salah satu bursa cryptocurrency terbesar pada Agustus 2016 ketika sebuah peretasan mencuri 120.000 BTC, atau sekitar $72 juta.
Sebuah firma keamanan blockchain bernama BitGo menyediakan Bitfinex dengan sistem dompet multi-tanda tangan. Namun, pengaturan ini ditemukan memiliki kerentanan akibat peretasan.
Peretas berhasil menembus keamanan Bitfinex dan mendapatkan akses ke dompet panasnya. Cacat keamanan dalam manajemen kunci Bitfinex dan kesalahan pengkodean dalam implementasi multi-sig adalah alasan mengapa peretas dapat mengakses, seperti yang kemudian ditemukan.
Dampak finansial dan penanganan berikutnya dari peretasan Bitfinex patut diperhatikan. Untuk mewakili dana yang hilang, bursa membuat token (BFX) yang dapat diperdagangkan atau disimpan oleh pengguna hingga keuangan bursa membaik. Sementara Bitfinex memang memberikan kompensasi kepada pelanggan yang terkena dampak, insiden ini menimbulkan keraguan tentang keamanan bursa terpusat dan kegunaan dompet multi-tanda tangan.
4. Binance (2019) – Target Terlalu Besar untuk Gagal
Pada Mei 2019, sebuah peretasan besar terjadi di Binance, salah satu bursa cryptocurrency terbesar dalam hal volume. Pada saat serangan, 7.000 BTC—setara dengan sekitar $40 juta—dicuri. Dan itu adalah peristiwa besar di industri crypto.
Peretas menggunakan kombinasi phishing, virus, dan teknik canggih lainnya untuk mendapatkan sejumlah besar kunci API pengguna, kode 2FA, dan kemungkinan info lainnya yang dapat membantu menyusup ke bagian internal bursa crypto raksasa.
Karena metode canggih yang digunakan, peretasan Binance menonjol. Peretasan dilakukan dengan sangat terorganisir oleh para penyerang, yang menarik Bitcoin dalam satu transaksi cepat yang memicu alarm.
Penarikan segera dihentikan dan tanggapan darurat diluncurkan oleh Binance. Beruntung bagi penggunanya, kerugian ditanggung oleh dana SAFU (Secure Asset Fund for Users) Binance, yang secara khusus didirikan untuk keadaan darurat semacam ini.
Meskipun sistem keamanan platform telah dikompromikan, protokol Binance memungkinkan mereka meminimalkan kerusakan dan pulih dengan cepat, menurut CEO Binance Changpeng Zhao, yang kemudian menangani insiden tersebut.
Pelanggaran tersebut menunjukkan bahwa tidak ada platform yang aman dari serangan cyber yang terus berkembang.
5. KuCoin (2020) – Pencurian $275 Juta
Sebuah peretasan terjadi pada September 2020 di bursa Singapura KuCoin, dan sekitar $275 juta dalam bentuk Ethereum, Bitcoin, dan token ERC-20 dicuri.
Sekali lagi, dompet panas bursa dikompromikan, menunjukkan bahaya menyimpan aset substansial secara online.
Baik jumlah yang dicuri dan reaksi cepat KuCoin membuat serangan tersebut patut diperhatikan. Sebagian besar dana yang dicuri cepat dibekukan oleh bursa, yang bekerja sama dengan tim proyek dan bisnis blockchain. Pada akhirnya, lebih dari $200 juta dana yang dirampok berhasil dikembalikan.
Respons dari KuCoin menunjukkan bagaimana langkah-langkah keamanan crypto yang canggih semakin maju, terutama kemampuan untuk bekerja dengan proyek blockchain untuk menghentikan atau membatalkan transfer uang yang dicuri.
Namun, ini memicu diskusi yang lebih luas mengenai bahaya bursa terpusat dan menarik perhatian pada perlunya peningkatan keamanan dompet panas.
6. NiceHash (2017) – Peretasan Penambangan $64 Juta
Pasar cryptocurrency mining NiceHash di Slovenia diserang pada Desember 2017, yang mengakibatkan pencurian 4.700 BTC, yang bernilai sekitar $64 juta pada saat itu.
Setelah mencuri uang dari NiceHash, pelaku kemungkinan menggunakan rekayasa sosial untuk mendapatkan akses ke sistem internal perusahaan.
Tidak seperti peretasan yang lebih umum, yang ini menargetkan platform penambangan.
Pengguna NiceHash, yang telah menyewakan daya komputasi mereka kepada orang lain sebagai imbalan untuk Bitcoin, mengalami kerugian besar. Sebagai tanggapan, bisnis membekukan semua operasi dan meluncurkan penyelidikan mendalam.
Meskipun NiceHash akhirnya membayar pengguna yang terkena dampak, insiden tersebut menunjukkan betapa rentannya seluruh ekosistem cryptocurrency, termasuk platform penambangan.
7. Liquid (2021) – Eksploitasi $94 Juta
Bursa Jepang Liquid kehilangan lebih dari $94 juta dalam bentuk Bitcoin, Ethereum, dan cryptocurrency lainnya dalam sebuah peretasan yang terjadi pada Agustus 2021.
Aset Liquid dipindahkan ke banyak alamat setelah para peretas mendapatkan akses ke dompet panas mereka. Begitu menyadari bisa kehilangan lebih banyak uang, bursa memindahkan uang tersebut ke dompet dingin.
Setelah ini, Liquid bekerja sama dengan bursa lain untuk menghentikan semua transaksi dalam upaya untuk mengidentifikasi pencuri dan, idealnya, mengembalikan dana yang dicuri. Meskipun sebagian dana dipulihkan, insiden tersebut menyoroti kekhawatiran yang terus-menerus mengenai kerentanan dompet panas dan kesulitan keamanan aset digital secara real-time.
8. Cryptopia (2019) – Jatuhnya Raksasa Kecil
Meskipun ukurannya kecil, bursa crypto berbasis di Selandia Baru Cryptopia menikmati reputasi tinggi di antara penggunanya.
Sebuah peretasan pada Januari 2019 mengkompromikan bursa tersebut, mencuri sekitar $16 juta dalam bentuk cryptocurrency. Cryptopia harus menghentikan semua operasi setelah peretasan dan bursa tersebut bangkrut.
Karena Cryptopia memiliki sedikit uang untuk membayar korban, peretasan tersebut sangat buruk bagi mereka. Seluruh kepemilikan beberapa pengguna hilang. Prosedur internal bursa dan manajemen risiko menjadi sorotan setelah penyelidikan mengungkapkan berbagai pelanggaran keamanan.
9. Zaif (2018) – Peretasan $60 Juta
Peretasan yang terjadi pada September 2018 di bursa cryptocurrency Jepang Zaif mengakibatkan pencurian sekitar $60 juta dalam bentuk Bitcoin, Bitcoin Cash, dan MonaCoin.
Setelah meretas dompet panas bursa, peretas berhasil memindahkan uang tersebut. Untuk sementara sebelum ada yang menyadarinya.
Untuk mengembalikan sebagian kerugiannya, Tech Bureau, perusahaan induk Zaif, menjual saham pengendali dalam bisnis tersebut kepada Fisco, penyedia layanan keuangan Jepang lainnya. Akibat peretasan tersebut, Zaif harus menghentikan operasionalnya sementara, dan pemerintah Jepang mulai menindak lebih keras bursa kripto.
10. Bitmart (2021) – Kecurangan Hot Wallet Senilai $150 Juta
Pada Desember 2021, terjadi peretasan besar di Bitmart, sebuah bursa bitcoin yang dikenal di seluruh dunia. Uang pengguna senilai hampir $150 juta dicuri dalam serangan tersebut. Hot wallet untuk token Binance Smart Chain (BSC) dan Ethereum (ETH) di bursa tersebut adalah titik lemah yang memungkinkan peretasan terjadi. Para peretas dapat melakukan apa saja dengan cryptocurrency yang disimpan di dompet Bitmart setelah mereka mendapatkan kunci dompet bursa tersebut.
Salah satu trik lebih rumit dari para penyerang adalah mereka mengatur penarikan otomatis untuk banyak token, seperti Safemoon, Shiba Inu (SHIB), dan lainnya.
Perusahaan keamanan PeckShield adalah yang pertama kali melihat transaksi aneh tersebut dan memberi tahu semua orang tentang hal ini. Tak lama setelah itu, CEO Bitmart Sheldon Xia mengonfirmasi peretasan tersebut dan menghentikan penarikan dan penyetoran di situs tersebut hingga mereka dapat menilai kerusakan yang terjadi.
Bitmart dengan cepat memberi tahu penggunanya bahwa mereka akan menanggung kerugian tersebut dari kantong mereka sendiri.
Seperti peretasan lainnya, peretasan Bitmart menarik perhatian pada masalah keamanan utama yang datang dengan menyimpan hot wallet. Apapun yang selalu terhubung ke internet rentan diserang.
Namun, ada lebih dari itu.
Serangan seperti ini membuat orang mempertanyakan seberapa andal bursa terpusat dalam menjaga keamanan dana pengguna.
Akibat kejadian tersebut, banyak orang menyimpulkan bahwa keamanan perlu diperketat dan penyimpanan dompet dingin perlu lebih populer agar masalah serupa tidak terjadi lagi.