Platform mata uang kripto kehilangan $127 juta kepada peretas pada bulan September 2025, menandai penurunan 22% dari bulan sebelumnya tetapi melanjutkan apa yang digambarkan peneliti keamanan sebagai salah satu tahun terburuk industri dalam hal pencurian digital.
Yang Perlu Diketahui:
- Pada bulan September terjadi sekitar 20 eksploitasi kripto besar-besaran dengan total $127 juta, turun dari $163 juta pada Agustus tetapi tetap menunjukkan kerentanan sektor yang signifikan.
- Pelanggaran terbesar melibatkan UXLINK, yang kehilangan $44 juta melalui manipulasi dompet dan serangan penerbitan token di Arbitrum.
- Lebih dari $3,1 miliar mata uang kripto telah dicuri dalam paruh pertama tahun 2025 saja, melebihi seluruh kerugian tahun 2024 dan menyoroti kegagalan keamanan yang terus-menerus.
Pelanggaran Besar Menargetkan Berbagai Platform
PeckShield, firma keamanan blockchain, mengidentifikasi sekitar 20 eksploitasi kripto besar bulan lalu. Penurunan dari angka bulan Agustus menawarkan sedikit penghiburan bagi analis yang melacak kerugian sektor yang meningkat.
UXLINK menderita pelanggaran terbesar bulan ini sebesar $44 juta. Penyerang pertama kali menyerang proyek sosial Web3 pada 22 September, menargetkan dompet multi-tanda tangan untuk mencopot kontrol administratif dan menguras $11,3 juta. Serangan berlanjut saat peretas mencetak miliaran token UXLINK baru di jaringan Arbitrum, hampir menggandakan pasokan yang beredar. Harga token itu anjlok lebih dari 70%. Bursa seperti Upbit membekukan beberapa aset, tapi sebagian besar dana yang dicuri tetap berada di dompet yang dikuasai penyerang.
SwissBorg, platform manajemen kekayaan Swiss, mencatat kerugian sekitar $41,5 juta melalui kompromi rantai pasokan. Peretas mengeksploitasi Kiln, penyedia layanan pihak ketiga yang mengelola operasi staking Solana.
Pelanggaran tersebut memungkinkan penyerang mengendalikan hampir 193.000 SOL dengan menyembunyikan kode berbahaya dalam apa yang tampaknya merupakan transaksi unstaking rutin.
Sebuah operasi phishing menargetkan platform peminjaman Venus pada 2 September, menghasilkan kerugian sekitar $13 juta. Korban bergabung dengan apa yang mereka percaya sebagai rapat Zoom yang sah, yang memungkinkan penyerang untuk mengkompromikan perangkat mereka dan memodifikasi kredensial dompet. Venus menangguhkan operasinya sementara dan melikuidasi posisi penyerang untuk memulihkan aset yang dicuri.
Insiden September lainnya termasuk eksploitasi $7,6 juta dari protokol stablecoin Yala dan pelanggaran $3 juta di GriffAI.
Memahami Kerentanan Keamanan Kripto
Dompet multi-tanda tangan memerlukan beberapa kunci pribadi untuk mengotorisasi transaksi, secara teoretis mendistribusikan tanggung jawab keamanan di antara beberapa pihak. Ketika penyerang mencemari sistem ini, mereka biasanya mendapatkan kendali melalui rekayasa sosial atau dengan mengeksploitasi cacat dalam cara perizinan administratif dibuat.
Serangan rantai pasokan menargetkan penyedia layanan pihak ketiga tepercaya daripada platform utama. Pelanggaran ini terbukti sangat merusak karena pengguna mengasumsikan dana mereka tetap aman saat bekerja dengan perantara yang mapan. Skema phishing mengandalkan menipu pengguna untuk mengungkapkan kredensial atau memberikan akses melalui komunikasi palsu yang meniru interaksi bisnis yang sah.
Serangan penerbitan token mengeksploitasi kerentanan dalam kode kontrak pintar untuk menciptakan token baru yang tidak sah, mengurangi kepemilikan yang ada dan merusak harga pasar. Teknik ini menjadi semakin umum saat penyerang mengidentifikasi platform dengan proses peninjauan kode yang tidak memadai.
Tahun Menunjukkan Aktivitas Kriminal Rekor
Penurunan September memberikan sedikit bantuan dalam tahun yang oleh peneliti keamanan sudah digolongkan sebagai salah satu yang terburuk di industri ini. Hacken, firma keamanan blockchain lainnya, melaporkan bahwa pencuri mencuri lebih dari $3,1 miliar mata uang kripto selama enam bulan pertama 2025. Angka itu melampaui keseluruhan total tahun 2024 yang berjumlah $2,85 miliar. Pelanggaran bybit pada kuartal pertama menyumbang $1,5 miliar dari kerugian tersebut melalui apa yang dianalis menyebutnya sebagai kegagalan kontrol akses besar-besaran.
Para ahli keamanan mengidentifikasi dua masalah persisten yang menyebabkan kerugian tersebut. Penyerang terus mengeksploitasi backdoor dan titik akses yang terprivilegi yang diabaikan oleh tim pengembangan selama tinjauan keamanan. Pengguna tetap rentan terhadap taktik rekayasa sosial yang sepenuhnya melewati pengamanan teknis. Analis industri memperingatkan bahwa tanpa investasi substansial dalam sistem kontrol akses, audit keamanan independen, dan program pendidikan pengguna, pengurangan sementara pencurian di bulan September mungkin terbukti tidak berarti. Trajektori tahun ini menunjukkan aktivitas kriminal yang menargetkan platform mata uang kripto akan terus memecahkan rekor.
Pemikiran Akhir
Sektor mata uang kripto menghadapi tantangan keamanan yang meningkat meskipun terjadi sedikit penurunan pencurian pada bulan September. Kerentanan yang terus-menerus dalam kontrol akses dan kesuksesan berkelanjutan dari serangan rekayasa sosial menunjukkan masalah sistemik yang tidak dapat disembunyikan oleh perbaikan sementara.