Platform cryptocurrency kehilangan $127 juta kepada peretas pada September 2025, menandai penurunan sebesar 22% dari bulan sebelumnya tetapi melanjutkan apa yang peneliti keamanan deskripsikan sebagai salah satu tahun terburuk industri ini untuk pencurian digital.
Apa yang Perlu Diketahui:
- September mencatat sekitar 20 eksploitasi kripto besar dengan total $127 juta, turun dari $163 juta pada bulan Agustus, tetapi tetap menunjukkan kerentanan sektor yang signifikan.
- Pelanggaran tunggal terbesar melibatkan UXLINK, yang kehilangan $44 juta melalui manipulasi dompet dan serangan pencetakan token di Arbitrum.
- Lebih dari $3,1 miliar dalam cryptocurrency telah dicuri pada paruh pertama tahun 2025, melebihi semua kerugian tahun 2024 dan menunjukkan kegagalan keamanan yang persisten.
Pelanggaran Besar Targetkan Beberapa Platform
PeckShield, sebuah firma keamanan blockchain, mengidentifikasi sekitar 20 eksploitasi kripto signifikan bulan lalu. Penurunan dari angka Agustus memberikan sedikit kenyamanan bagi analis yang melacak kerugian sektor yang meningkat.
UXLINK menderita pelanggaran terbesar bulan ini sebesar $44 juta. Penyerang pertama menyerang proyek sosial Web3 pada 22 September, menargetkan dompet multi-signature untuk menghapus kontrol administrasi dan menguras $11,3 juta. Serangan terus berlanjut saat peretas mencetak miliaran token UXLINK baru di jaringan Arbitrum, hampir menggandakan pasokan yang beredar. Harga token anjlok lebih dari 70%. Bursa termasuk Upbit membekukan beberapa aset, tetapi sebagian besar dana yang dicuri tetap dalam dompet yang dikendalikan oleh penyerang.
SwissBorg, platform manajemen kekayaan asal Swiss, mencatat kerugian sekitar $41,5 juta melalui kompromi rantai pasokan. Peretas mengeksploitasi Kiln, penyedia layanan pihak ketiga yang mengelola operasi staking Solana.
Pelanggaran memungkinkan penyerang mengontrol hampir 193.000 SOL dengan menyembunyikan kode berbahaya dalam transaksi unstaking yang tampak rutin.
Operasi phishing menargetkan platform peminjaman Venus pada 2 September, mengakibatkan kerugian sekitar $13 juta. Korban bergabung dalam apa yang mereka percayai sebagai pertemuan Zoom yang sah, yang memungkinkan penyerang untuk kompromi perangkat mereka dan memodifikasi kredensial dompet. Venus menangguhkan operasi sementara dan melikuidasi posisi penyerang untuk memulihkan aset yang dicuri.
Insiden September tambahan termasuk eksploitasi $7,6 juta pada protokol stablecoin Yala dan pelanggaran $3 juta di GriffAI.
Memahami Kerentanan Keamanan Kripto
Dompet multi-signature memerlukan beberapa kunci pribadi untuk mengotorisasi transaksi, secara teoretis mendistribusikan tanggung jawab keamanan di antara beberapa pihak. Ketika penyerang mengkompromi sistem ini, mereka biasanya mendapatkan kontrol melalui rekayasa sosial atau dengan mengeksploitasi kelemahan dalam cara izin administratif disusun.
Serangan rantai pasokan menargetkan penyedia layanan pihak ketiga yang terpercaya daripada platform utama. Pelanggaran ini terbukti sangat merusak karena pengguna berasumsi bahwa dana mereka tetap aman saat bekerja dengan perantara yang sudah mapan. Skema phishing bergantung pada menipu pengguna untuk mengungkapkan kredensial atau memberikan akses melalui komunikasi palsu yang meniru interaksi bisnis yang sah.
Serangan pencetakan token mengeksploitasi kerentanan dalam kode smart contract untuk menciptakan token baru yang tidak sah, mengencerkan kepemilikan yang ada dan menabrak harga pasar. Teknik ini menjadi semakin umum karena penyerang mengidentifikasi platform dengan proses tinjauan kode yang tidak memadai.
Tahun Menunjukkan Aktivitas Kriminal Rekor
Penurunan pada bulan September memberikan sedikit bantuan dalam tahun yang peneliti keamanan sudah mengklasifikasikan sebagai salah satu yang terburuk. Hacken, firma keamanan blockchain lainnya, melaporkan bahwa pencuri mencuri lebih dari $3,1 miliar dalam cryptocurrency selama enam bulan pertama tahun 2025. Angka tersebut melampaui total selama tahun 2024 sebesar $2,85 miliar. Pelanggaran Bybit exchange di kuartal pertama menyumbang $1,5 miliar dari kerugian tersebut melalui apa yang disebut analis sebagai kegagalan kontrol akses besar-besaran.
Ahli keamanan mengidentifikasi dua masalah persistent yang mendorong kerugian ini. Penyerang terus mengeksploitasi pintu belakang dan titik akses yang diabaikan oleh tim pengembangan selama peninjauan keamanan. Pengguna tetap rentan terhadap taktik rekayasa sosial yang sepenuhnya melewati pengamanan teknis. Analis industri memperingatkan bahwa tanpa investasi substansial dalam sistem kontrol akses, audit keamanan independen, dan program pendidikan pengguna, pengurangan sementara pencurian pada bulan September mungkin tidak berarti apa-apa. Trajektori tahun ini menunjukkan aktivitas kriminal yang menargetkan platform cryptocurrency akan terus mencatat rekor.
Pemikiran Akhir
Sektor cryptocurrency menghadapi tantangan keamanan yang meningkat meskipun ada penurunan moderat pencurian pada bulan September. Kerentanan persisten dalam kontrol akses dan kesuksesan berlanjut dari serangan rekayasa sosial menunjukkan masalah sistemik yang tidak bisa ditutupi oleh perbaikan sementara.