Industri kripto terus menghadapi gelombang pelanggaran keamanan yang belum pernah terjadi sebelumnya di tahun 2025, dengan lebih dari $3,1 miliar aset digital dicuri pada paruh pertama tahun ini saja, menurut laporan baru yang komprehensif dari perusahaan keamanan blockchain Hacken.
Kerugian, yang didorong terutama oleh kerentanan kontrol akses, basis kode usang, dan gelombang eksploitasi AI yang semakin besar, telah melampaui total tahun penuh sebesar $2,85 miliar pada tahun 2024 - menandakan krisis keamanan yang memburuk seiring adopsi Web3 yang meningkat secara global.
Temuan Hacken menyoroti kelemahan struktural yang persisten dalam sistem DeFi dan CeFi, terutama di sekitar keamanan manusia dan proses, yang kini telah melampaui kelemahan kriptografi sebagai vector serangan utama. Meskipun insiden besar seperti peretasan Bybit senilai $1,5 miliar pada bulan Februari mungkin merupakan outlier statistik, laporan tersebut menekankan bahwa sebagian besar kerugian berasal dari kelemahan yang dapat dicegah, seringkali terkait dengan kode usang, izin yang salah konfigurasi, atau API yang tidak terlindungi.
Kerentanan kontrol akses - yang terjadi ketika aktor yang tidak sah mendapatkan kontrol fungsi istimewa karena pengaturan izin yang lemah - menyumbang sekitar 59% dari semua dana yang dicuri pada tahun 2025, lapor Hacken. Itu setara dengan sekitar $1,83 miliar dalam nilai yang hilang di banyak insiden.
Tren ini mencerminkan tahun 2024, di mana kelemahan lapisan kontrol serupa mendominasi data eksploitasi. Namun, skala dan kecanggihan serangan telah meningkat pada tahun 2025, dengan beberapa intrusi skala besar menargetkan kontrak pintar warisan dan logika admin usang di protokol terdesentralisasi. “Proyek harus menjaga basis kode lama atau warisan mereka jika tidak dihentikan sepenuhnya dari operasi,” kata Yehor Rudytsia, Kepala Forensik dan Respon Insiden di Hacken. “Banyak protokol masih mengekspos fungsi administratif dari versi yang dianggap sudah tidak digunakan lagi.”
Rudytsia menunjuk ke contoh GMX v1, di mana kerentanan dalam arsitektur kontrak warisan dieksploitasi secara aktif pada Q3 2025 - lama setelah protokol tersebut beralih pengembangan ke iterasi yang lebih baru.
Platform DeFi dan CeFi Terus Berdarah
Secara gabungan, platform keuangan terdesentralisasi (DeFi) dan keuangan terpusat (CeFi) mengalami kerugian lebih dari $1,83 miliar tahun ini akibat cacat operasional dan keamanan. Insiden paling signifikan pada Q2 adalah eksploitasi protokol Cetus, yang mengakibatkan kerugian $223 juta hanya dalam 15 menit, menjadikannya kuartal terburuk DeFi sejak awal 2023 dan mengakhiri tren lima kuartal penurunan volume peretasan.
Menurut analisis Hacken, pelaku penyerangan Cetus menggunakan eksploitasi pinjaman flash yang memanfaatkan pemeriksaan overflow yang cacat dalam perhitungan pool likuiditasnya. Dengan membuka serangkaian posisi mikro di 264 kolam, pelaku penyerangan membuat sistem kewalahan dan menguras likuiditas besar tanpa memicu mekanisme keamanan waktu nyata.
“Jika Cetus menerapkan sistem pemantauan TVL dinamis dengan ambang batas jeda otomatis, kami memperkirakan bahwa 90% dari dana yang dicuri dapat dipertahankan,” tulis Hacken dalam laporan tersebut.
Insiden ini juga mengubah distribusi jenis eksploitasi untuk Q2. Meskipun kegagalan kontrol akses turun menjadi $14 juta - level terendah sejak Q2 2024 - bug kontrak pintar melonjak, menunjukkan bahwa meskipun cacat perizinan tetap dominan dalam jangka panjang, masalah tingkat kode masih menimbulkan risiko kritis.
AI dan LLM Memperkenalkan Vektor Serangan Baru
Salah satu pengungkapan paling mengkhawatirkan dalam laporan Hacken tahun 2025 adalah peningkatan dramatis dalam insiden keamanan kripto terkait AI. Eksploitasi yang terkait dengan model bahasa besar (LLM) dan infrastruktur Web3 yang terintegrasi AI melonjak sebesar 1.025% dibandingkan dengan tahun 2023, dengan sebagian besar serangan menargetkan API yang tidak aman yang digunakan untuk menghubungkan logika on-chain dengan sistem kecerdasan off-chain.
Di antara insiden terkait AI yang dianalisis:
- 98,9% pelanggaran terkait AI melibatkan API yang diekspos atau salah dikonfigurasi.
- Lima Common Vulnerabilities and Exposures (CVE) baru terkait LLM ditambahkan pada tahun 2025.
- 34% proyek Web3 sekarang menyebarkan agen AI dalam lingkungan produksi, membuatnya semakin menarik untuk menjadi target.
Serangan ini menyoroti tumpang tindih yang semakin besar antara kerentanan Web2 dan infrastruktur Web3, terutama karena platform kripto berlomba untuk mengintegrasikan pembelajaran mesin ke dalam bot perdagangan, DAO, sistem dukungan pelanggan, dan agen otonom.
“Kerangka kerja keamanan tradisional tertinggal,” tulis Hacken, merujuk pada standar seperti ISO/IEC 27001 dan NIST Cybersecurity Framework, yang belum beradaptasi untuk mengatasi ancaman spesifik AI seperti injeksi prompt, halusinasi model, dan keracunan data.
Rug Pull dan Penipuan Tetap Menjadi Masalah Besar
Selain eksploitasi teknis, ruang kripto terus menderita akibat serangan rekayasa sosial, skema penipuan, dan yang disebut "rug pull" - proyek yang menghilang setelah menarik dana investor.
Meskipun insiden-insiden ini lebih sulit untuk diukur dalam istilah teknis, Hacken memperkirakan bahwa kerugian non-teknis, termasuk penipuan, menyumbang sekitar $750 juta dalam pelarian modal tambahan dari investor ritel dan institusi pada tahun 2025.
Rug pull terbesar tahun ini melibatkan sebuah aggregator hasil DeFi di BNB Chain, di mana pengembang menyedot $62 juta dana pengguna melalui logika kontrak yang dimanipulasi sebelum menghapus semua saluran komunikasi proyek dan offline.
Pelajaran dan Rekomendasi Kunci
Laporan Hacken menyimpulkan dengan serangkaian rekomendasi yang bertujuan membantu proyek mengurangi risiko mereka dalam lingkungan ancaman yang berkembang pesat:
- Tinjauan Basis Kode Warisan: Proyek harus mengaudit dan menonaktifkan kontrak pintar warisan yang mempertahankan izin atau fungsi admin yang ditingkatkan. Hacken mencatat bahwa lebih dari 20% dari protokol yang dieksploitasi tahun ini memiliki modul warisan yang rentan yang masih aktif.
- Kontrol Akses Dinamis: Daftar putih yang kaku atau fungsi admin-saja harus diganti dengan sistem multi-sig, timelock, dan role-based yang beradaptasi dengan tingkat ancaman yang berubah.
- Pemantauan Waktu Nyata dan Sistem Jeda Otomatis: Terapkan telemetri on-chain dan peringatan pergerakan TVL waktu nyata untuk mencegah pengurasan dana yang cepat selama serangan pinjaman flash.
- Kontrol Risiko AI: Proyek yang menggunakan LLM harus menetapkan sanitasi input, log audit, dan membatasi akses ke fungsi on-chain sensitif. Kerangka kerja agen terbuka tidak boleh digunakan tanpa pembatasan API yang ketat dan validasi respons.
- Pendidikan Pengguna: Keamanan tingkat dompet tetap lemah. Mempromosikan penggunaan dompet perangkat keras, menonaktifkan penandatanganan membabi buta, dan menerapkan simulasi transaksi dapat mengurangi kompromi kunci pribadi dari kampanye phishing.
Keamanan Tidak Lagi Opsional
Dengan adopsi kripto yang berkembang menjadi sistem keuangan arus utama dan infrastruktur institusi, keamanan tidak lagi menjadi perhatian sekunder - itu adalah dasar untuk kelangsungan jangka panjang Web3.
Seiring perkembangan pelaku dari eksploitasi teknis ke manipulasi tingkat proses dan eksploitasi AI, kebutuhan akan standar keamanan yang proaktif, adaptif, dan komprehensif belum pernah begitu mendesak.
Jika tren saat ini berlanjut, 2025 akan menjadi tahun termahal dalam sejarah keamanan kripto, dan industri harus menghadapi titik terlemahnya - dari kontrak pintar usang hingga integrasi pembelajaran mesin yang tidak aman.
“Kripto memasuki era baru di mana kesalahan manusia, desain yang buruk, dan eksploitasi AI lebih penting dari sebelumnya,” Rudytsia menyimpulkan. “Protokol yang bertahan dalam era ini adalah yang memperlakukan keamanan sebagai produk inti, bukan sebagai pemikiran setelah peluncuran.”