Peretasan kripto pada 2025 dan awal 2026 melebihi semua rekor tahunan sebelumnya berdasarkan nilai dolar, dengan kerugian mencapai sekitar $3,4 miliar di tengah lanskap bug smart contract, kompromi supply chain, manipulasi oracle, pencurian kunci, dan sabotase bermotif politik yang bersama‑sama mengungkap bahwa titik‑titik kepercayaan terpusat — bukan hanya kode buruk — tetap menjadi kerentanan paling berbahaya bagi industri.
Kondisi Peretasan Kripto di 2025–2026
Angkanya sulit dibantah, meski berbeda menurut metodologi.
Chainalysis memperkirakan total pencurian kripto pada 2025 mencapai $3,4 miliar, menjadikannya tahun terburuk yang pernah tercatat. TRM Labs dan TechCrunch secara terpisah melaporkan angka $2,7 miliar. CertiK menerbitkan rekap H1 2025 sebesar $2,47 miliar dari 344 insiden, sudah melampaui total kerugian bersih setahun penuh 2024 yang sebesar $1,98 miliar.
Sebagai konteks, TRM Labs menghitung bahwa $2,2 miliar dicuri sepanjang 2024. Artinya, enam bulan pertama 2025 saja sudah melampaui total setahun penuh sebelumnya.
Yang membuat periode ini khas bukanlah jumlah insiden. Melainkan konsentrasinya.
Immunefi melaporkan bahwa Q1 2025 adalah kuartal terburuk untuk peretasan kripto dalam sejarah, dengan $1,64 miliar hilang hanya dari 40 kejadian — peningkatan 4,7x dibanding Q1 2024. Dua insiden saja, Bybit dan Cetus, menyumbang sekitar $1,78 miliar, atau 72 persen dari total H1 versi CertiK.
Kategori serangannya tidak banyak berubah. Eksploitasi smart contract, manipulasi oracle, kompromi private key, kegagalan operasional exchange, dan serangan siber yang disponsori negara semuanya ada. Yang berubah adalah skala. Rata‑rata ukuran peretasan berlipat ganda di H1 2025 dibanding periode yang sama setahun sebelumnya, dan kerusakan menjadi sangat terkonsentrasi pada segelintir kejadian katastropik.
Benang merah yang menghubungkan kasus‑kasus terburuk di bawah ini bukanlah kompleksitas. Melainkan kepercayaan — yang terkonsentrasi pada satu kunci, satu vendor, satu struktur tata kelola, atau satu venue likuiditas.
Baca Juga: Trump's 48-Hour Iran Warning: What It Did To BTC, ETH And XRP
Resolv: Bagaimana Mint Tanpa Cadangan Mengubah Stablecoin Menjadi Krisis Neraca
Pada 22 Mar 2026, seorang penyerang mengkompromikan private key istimewa yang disimpan di AWS Key Management Service milik Resolv, lalu menggunakannya untuk mengotorisasi dua operasi mint berskala sangat besar pada stablecoin USR milik protokol.
Mint pertama menciptakan 50 juta USR dengan setoran sekitar $100.000 dalam USDC (USDC). Mint kedua menambahkan 30 juta lagi.
Secara total, sekitar 80 juta token tanpa cadangan masuk ke sirkulasi. Kunci mint tersebut adalah satu externally owned account — bukan multisig — dan kontraknya tidak memiliki batas mint maksimum, pengecekan oracle, atau validasi jumlah.
Penyerang mengonversi USR hasil mint melalui wstUSR dan stablecoin menjadi sekitar 11.400 Ether (ETH), senilai kira‑kira $24 juta hingga $25 juta. Harga USR anjlok hingga $0,025 di Curve Finance dalam 17 menit — penurunan 97,5 persen.
Yang membuat eksploit stablecoin sangat merusak adalah bahwa eksploit tersebut seketika membuka apakah cadangan kolateral benar‑benar kuat atau rapuh.
Pool kolateral awal protokol sekitar $95 juta secara teknis tetap utuh, tetapi dengan 80 juta token baru tanpa cadangan beredar, Resolv menyisakan sekitar $95 juta aset melawan sekitar $173 juta liabilitas. Protokol DeFi seperti Aave, Morpho, Euler, Venus, dan Fluid mengambil langkah pencegahan untuk mengisolasi eksposurnya.
Rangkaian kejadian — eksploit, forced selling, depeg, kesenjangan liabilitas, panik — terjadi dalam waktu kurang dari satu hari.
Baca Juga: Bitcoin's S&P 500 Correlation Just Flashed A Crash Warning
Bybit: Kebocoran $1,5 Miliar yang Mendefinisikan Setahun Penuh
Tidak ada satu pun kejadian dalam sejarah pencurian kripto yang sebanding secara nilai dolar dengan apa yang terjadi pada Bybit pada 21 Feb 2025.
Investigator on‑chain ZachXBT pertama kali menandai outflow mencurigakan lebih dari $1,46 miliar dari cold wallet Ethereum (ETH) milik exchange tersebut. FBI kemudian mengaitkan pencurian itu dengan klaster TraderTraitor asal Korea Utara, bagian dari Lazarus Group, dan memperkirakan jumlahnya sekitar $1,5 miliar.
Sekitar 401.347 ETH dicuri. Jumlah ini melampaui total gabungan peretasan Ronin Network dan Poly Network, yang sebelumnya adalah dua peretasan terbesar dalam sejarah kripto.
Kebocoran ini bukan kegagalan kode milik Bybit sendiri. Investigasi forensik oleh Sygnia dan Verichains melacak akar masalahnya ke kompromi supply chain di Safe{Wallet}, platform multisig pihak ketiga. Penyerang mengkompromikan workstation macOS milik seorang pengembang Safe sejak 4 Feb, mencuri token sesi AWS, dan pada 19 Feb menyuntikkan JavaScript berbahaya ke antarmuka web Safe.
Kode tersebut hanya aktif ketika cold wallet Ethereum spesifik milik Bybit memulai transaksi. Tiga dari enam penandatangan multisig menyetujui transaksi itu tanpa mendeteksi manipulasi.
CEO Bybit Ben Zhou mengonfirmasi bahwa exchange tetap solven, didukung oleh cadangan pra‑peretasan lebih dari $16 miliar. Dalam 72 jam, Bybit mengisi kembali cadangan ETH‑nya melalui pinjaman darurat dari Galaxy Digital, FalconX, Wintermute, dan Bitget. Namun hingga 20 Maret, sekitar 86 persen ETH yang dicuri telah dikonversi menjadi Bitcoin (BTC) di hampir 7.000 wallet.
Pelajarannya cukup jelas. Satu venue, satu kebocoran, satu kejadian — dan profil kerugian tahunan industri bergeser sepenuhnya. Beberapa kegagalan kripto terburuk terjadi justru di tempat pengguna berasumsi bahwa skala berarti keamanan.
Baca Juga: After A $44M Hack, CoinDCX Now Faces A Fraud FIR
Cetus di Sui: Bagaimana Eksploit $223 Juta Membekukan DEX Andalan
Pada Mei 2025, Cetus, exchange terdesentralisasi terbesar di jaringan Sui (SUI), terkena eksploit yang menguras sekitar $223 juta dari pool likuiditasnya. Penyebab utamanya adalah bug integer overflow pada library matematika likuiditas terkonsentrasi protokol tersebut.
Sebuah fungsi membandingkan nilai terhadap ambang batas yang meleset satu bit, memungkinkan penyerang menyetor satu token saja tetapi menerima posisi likuiditas bernilai jutaan.
Validator Sui mengambil langkah luar biasa dengan membekukan sekitar $162 juta dana curian di on‑chain, langkah yang disetujui melalui pemungutan suara tata kelola dengan dukungan 90,9 persen. Sekitar $60 juta sudah lebih dulu dijembatani ke Ethereum sebelum pembekuan.
Cetus melanjutkan operasi setelah outage 17 hari, mengisi ulang pool dengan dana yang dipulihkan, $7 juta dari kasnya, dan pinjaman USDC $30 juta dari Sui Foundation.
Ketika venue likuiditas andalan rusak, kredibilitas seluruh chain ikut terdampak. Harga token, reputasi chain, kepercayaan pengguna, dan kebutuhan intervensi darurat oleh pelaku ekosistem — radius ledakannya jauh melampaui protokol itu sendiri.
Baca Juga: Brazil Freezes Crypto Tax Rules
GMX: Mengapa Venue Perpetuals Top Tetap Kehilangan Lebih Dari $42 Juta
Pada Jul 2025, GMX dieksploitasi lebih dari $42 juta melalui kerentanan reentrancy lintas‑kontrak di deployment V1‑nya di Arbitrum. Fungsi yang mengeksekusi decrease order menerima alamat smart contract sebagai parameter alih‑alih mewajibkan wallet standar.
Selama langkah pengembalian ETH, eksekusi dialihkan ke kontrak berbahaya milik penyerang, memungkinkan reentrancy yang memanipulasi data harga internal hingga sekitar 57 kali di bawah harga pasar sebenarnya.
GMX menawarkan bounty white‑hat 10 persen, bernilai sekitar $5 juta, dengan batas waktu 48 jam dan ancaman tindakan hukum. Penyerang mengembalikan sekitar $37,5 juta hingga $40,5 juta secara bertahap, sekaligus mempertahankan bounty. GMX kemudian completed rencana kompensasi sebesar $44 juta untuk pemegang GLP yang terdampak.
Fakta bahwa dana dikembalikan tidak berarti sistemnya berhasil. Bingkai “white-hat”, tawaran bounty, dan pemulihan sebagian dapat melunakkan reaksi pasar tanpa menghilangkan kegagalan keamanan yang mendasarinya.
Kerentanan ini secara ironis diperkenalkan pada 2022 ketika memperbaiki bug sebelumnya. GMX V2 tidak terdampak.
Also Read: Bitcoin Drops In Hours After Trump Threatens Iran Power Plants
Nobitex: Ketika Peretasan Kripto Menjadi Perang Geopolitik
Pada Juni 2025, Nobitex, bursa kripto terbesar di Iran, hacked sekitar $90 juta di berbagai blockchain termasuk Bitcoin (BTC), Ethereum, Dogecoin (DOGE), XRP (XRP), Solana (SOL), Tron (TRX), dan TON (TON).
Kelompok peretas pro-Israel Gonjeshke Darande, juga dikenal sebagai Predatory Sparrow, claimed bertanggung jawab atas serangan tersebut.
Serangan terjadi di tengah konflik militer aktif antara Israel dan Iran.
Ini bukan pencurian bermotif finansial. Dana yang dicuri sent ke alamat “vanity burner” yang berisi pesan anti-IRGC tanpa kunci privat yang dapat dipulihkan — secara efektif membakar $90 juta sebagai sebuah pernyataan politik.
Keesokan harinya, para penyerang secara terbuka released seluruh source code Nobitex, dokumentasi infrastruktur, dan riset internal terkait privasi.
Beberapa peretasan kripto sama sekali bukan serangan untuk memaksimalkan keuntungan. Mereka adalah tindakan sabotase, sinyal, atau peperangan siber. Hal ini membuatnya berbeda dari eksploitasi protokol di hampir semua dimensi: motivasi, metode, konsekuensi, dan kemustahilan pemulihan. Nobitex reported melanjutkan operasi secara parsial setelahnya, namun volume transaksi masuk turun lebih dari 70 persen secara tahunan pada awal Juli.
Also Read: SBF Backs Trump's Iran Strikes From Prison
Abracadabra: Eksploitasi yang Menghantam Pasar Pinjaman DeFi Lewat Cauldron Terkait GMX
Pada 25 Maret 2025, seorang penyerang drained sekitar 6.260 ETH — senilai sekitar $13 juta — dari pasar pinjaman Abracadabra Finance, yang dikenal sebagai cauldron. Cauldron yang menjadi target menggunakan token pool likuiditas GMX V2 sebagai jaminan, dan eksploitasi ini memanfaatkan teknik self-liquidation berbantuan flash loan yang mengeksploitasi kesalahan pelacakan state dalam kontrak gmCauldron.
Dana yang dicuri dijembatani dari Arbitrum ke Ethereum. PeckShield termasuk firma keamanan pertama yang menandai insiden ini. GMX menegaskan bahwa kontrak mereka sendiri tidak terdampak.
Abracadabra menawarkan bug bounty sebesar 20 persen. Ini merupakan peretasan besar kedua terhadap protokol tersebut; eksploitasi senilai $6,49 juta telah hit Abracadabra pada Januari 2024.
Kejadian ini mengilustrasikan risiko komposabilitas. Sebuah protokol bisa tampak aman jika berdiri sendiri namun menjadi rentan melalui integrasi dan ketergantungan.
Bagi pengguna DeFi, apa yang ada “di bawah kap mesin” — jenis jaminan apa yang diterima protokol, kontrak eksternal mana yang dipanggil — lebih penting daripada nama merek di antarmuka tempat mereka menyetor dana.
Also Read: CFTC And SEC Align On Crypto Haircuts
Hyperliquid dan JELLY: Drama Struktur Pasar dan Pertanyaan Sentralisasi
Pada 26 Maret 2025, seorang penyerang opened posisi short JELLY, sebuah memecoin illiquid, senilai $4,1 juta di Hyperliquid, bersamaan dengan dua posisi long yang mengimbangi, lalu memompa harga spot token tersebut lebih dari 400 persen.
Ketika posisi short dilikuidasi, vault HLP otomatis milik Hyperliquid mewarisi posisi yang merugi, dan kerugian belum terealisasi vault itu mencapai sekitar $13,5 juta.
Validator Hyperliquid kemudian force-closed semua posisi JELLY, menyelesaikan pada harga entry short awal penyerang di $0,0095 alih-alih $0,50 seperti yang dilaporkan oracle eksternal.
Manuver ini dieksekusi dalam waktu dua menit dan revealed bahwa protokol tersebut hanya bergantung pada empat validator per set.
Skandal di sini bukan hanya soal kerugian.
CEO Bitget, Gracy Chen, secara terbuka menyebut Hyperliquid sebagai "FTX 2.0." Total value locked protokol anjlok dari $540 juta menjadi $150 juta dalam sebulan berikutnya, dan token HYPE turun 20 persen. Hyperliquid kemudian upgraded ke mekanisme pemungutan suara validator on-chain untuk keputusan delisting aset.
Apa yang terjadi ketika sebuah venue yang mengklaim desentralisasi justru bertindak secara terpusat dalam kondisi krisis? Pertanyaan ini berguna bagi kalangan riset mana pun bahkan ketika kerugian dolarnya lebih kecil daripada pelanggaran terbesar. Insiden ini mengekspos garis patahan kredibilitas.
Also Read: Strategy Holds 3.6% Of All Bitcoin
Meta Pool: Risiko Infinite Mint dan Mengapa Likuiditas Rendah Dapat Menutupi Bug Besar
Pada Juni 2025, Meta Pool suffered eksploitasi smart contract yang memungkinkan penyerang mencetak 9.705 mpETH — senilai sekitar $27 juta — tanpa menyetor jaminan ETH apa pun.
Kerentanan berada pada fungsi mint ERC-4626. Penyerang melewati masa cooldown normal melalui fitur fast unstake milik protokol.
Namun kerugian yang terealisasi hanya sekitar $132.000. Tipisnya likuiditas di pool swap Uniswap yang relevan berarti penyerang hanya dapat mengekstrak 52,5 ETH.
Sebuah MEV bot melakukan front-run atas sebagian serangan, mengekstrak sekitar 90 ETH dalam bentuk likuiditas yang kemudian dikembalikan ke protokol. Sebanyak 913 ETH yang awalnya distaking oleh pengguna tetap aman bersama operator SSV Network.
Terkadang bug jauh lebih parah daripada kerugian yang terealisasi. Jalur eksploitasi dalam kasus ini menyiratkan potensi kerusakan yang katastrofik, tetapi likuiditas yang buruk membatasi nilai yang dapat diambil. Pembedaan ini penting bagi siapa pun yang mengevaluasi risiko DeFi, dan membuat kasus ini lebih bernilai analitis daripada sekadar pemeringkatan menurut besarnya kerugian dolar.
Also Read: UK Set To Block Crypto Donations
Cork Protocol: Didukung a16z, Tetap Tereksploitasi
Pada 28 Mei 2025, Cork Protocol exploited sekitar $12 juta. Penyerang mengekstrak 3.761 wstETH dengan mengeksploitasi kelemahan pada logika beforeSwap milik Cork Hook dan kontrol akses yang hilang.
Penyebab utamanya adalah kurangnya validasi input dikombinasikan dengan pembuatan pasar permissionless tanpa guard rail, yang memungkinkan penyerang membuat pasar palsu menggunakan token DS yang sah sebagai aset penebusan.
Cork telah menerima investasi dari a16z crypto dan OrangeDAO pada September 2024.
Pesan yang bisa diambil sederhana. Investor institusional, dukungan venture capital papan atas, dan branding yang dipoles tidak menghilangkan risiko teknis. Pembaca tidak boleh menyamakan kualitas pendanaan dengan keamanan protokol, dan audit — seberapa pun telitinya — bukan jaminan. Semua kontrak segera dijeda setelah deteksi, tetapi dananya sudah hilang.
Also Read: Early Ethereum Whale Buys $19.5M In ETH
KiloEx: Manipulasi Oracle sebagai Kelemahan Berulang di DeFi
Pada April 2025, KiloEx lost sekitar $7 juta hingga $7,5 juta di Base, opBNB, dan BNB Smart Chain setelah seorang penyerang mengeksploitasi kerentanan kontrol akses di kontrak MinimalForwarder platform tersebut. Cacat ini memungkinkan siapa saja memanggil fungsi penentu harga.
Penyerang memanipulasi oracle agar melaporkan harga ETH yang sangat rendah — $100 — saat membuka posisi leveraged, lalu menutupnya pada harga $10.000.
KiloEx offered bounty white-hat sebesar 10 persen, yakni $750.000. Empat hari kemudian, penyerang mengembalikan semua dana yang dicuri, dan KiloEx mengumumkan tidak akan menempuh jalur hukum.
Platform kembali beroperasi setelah jeda 10 hari dan published rencana kompensasi bagi pengguna yang posisinya tetap terbuka selama gangguan.
Ini adalah contoh paling bersih untuk menjelaskan risiko oracle. Data harga yang buruk dapat memungkinkan penyerang membuka dan menutup posisi pada nilai yang salah. Banyak eksploitasi yang dipasarkan sebagai “sofistikated” masih dibangun di atas primitif lama — feed harga buruk, asumsi yang mudah ditebak, validasi yang lemah. Manipulasi oracle tetap menjadi salah satu kelemahan paling persisten di DeFi.
Also Read: Gold's WorstWeek Since 1983
Apa yang Diungkap Pola Ini
Sepuluh kasus di atas berbeda dalam mekanisme, skala, dan motif. Namun semuanya memiliki pola struktural yang sama.
Insiden yang paling merusak secara finansial — Bybit dan Resolv — sama sekali tidak disebabkan oleh bug on-chain. Itu adalah kegagalan di level infrastruktur: sebuah mesin pengembang yang dikompromikan pada satu kasus, dan satu kunci pencetakan (minting key) yang tidak dijaga dan disimpan di infrastruktur cloud pada kasus lainnya. Kerusakan di kedua kasus tersebut menjadi katastrofik justru karena terdapat titik-titik kepercayaan terpusat di tempat di mana pengguna mengira hal itu tidak ada.
Eksploitasi di level protokol seperti Cetus dan GMX memang melibatkan bug kode, tetapi radius ledakannya ditentukan oleh respons tata kelola — apakah validator bisa membekukan dana, apakah negosiasi bounty berhasil, dan apakah pelaku ekosistem turun tangan dengan pendanaan darurat.
Nobitex bukan eksploitasi protokol dalam arti yang sesungguhnya; itu adalah tindakan sabotase geopolitik.
Gambaran keseluruhan ini tidak menggembirakan. Lebih sedikit insiden tidak berarti kerusakan yang lebih kecil. Rata-rata tingkat keparahan justru meningkat. Korea Utara saja accounted atas lebih dari $2 miliar pencurian di tahun 2025, meningkat 51 persen dari tahun ke tahun.
Perimeter keamanan yang paling penting dalam kripto telah bergeser dari logika on-chain ke infrastruktur off-chain, manajemen kunci, dan keamanan operasional manusia.
Bagi pengguna ritel, investor token, dan tim protokol, data menunjukkan kesimpulan yang sama. Pertanyaannya bukan lagi apakah smart contract suatu protokol sudah diaudit. Pertanyaannya adalah di mana letak konsentrasi kepercayaan — dan apa yang terjadi ketika itu rusak.
Read Next: Bitcoin Mining Difficulty Falls 7.76%