$17 Miliar Dicuri dari Crypto dalam Satu Dekade — Berikut Ke Mana Sebenarnya Semua Uang Itu Pergi
jo****@gmail.com2026-04-23
Peretasan kripto telah menguras $17 miliar selama satu dekade menurut DefiLlama, dengan eksploitasi jembatan dan kunci pribadi sebagai vektor utama. Grup Lazarus dari Korea Utara bertanggung jawab atas pencurian bernilai miliaran yang disponsori oleh negara.
Tujuh belas miliar dolar adalah jumlah uang yang mengejutkan yang dicuri dari industri mata uang kripto oleh peretas selama periode sepuluh tahun, sebagaimana dilaporkan oleh DefiLlama mengenai jumlah yang dicuri dalam industri mata uang kripto sejak tahun 2010. Setiap kali saya membaca statistik ini, saya mengambil waktu sejenak untuk membiarkannya meresap sebelum saya menempatkannya dalam perspektif. Tujuh belas miliar dolar adalah jumlah yang besar. Angka "kerugian" melalui berbagai cara untuk mencuri dari mata uang kripto seperti eksploitasi, serangan jembatan (bridge attacks), protokol pengurasan (drain protocols), dan peretasan bursa (exchange hacks) (beberapa jauh lebih kompleks dari yang lain) memperkuat bahwa industri ini memiliki masalah dengan keamanan. Yang telah berubah adalah bahwa insiden-insiden ini meningkat secara eksponensial.
Rincian Angka Tersebut
Sebuah layanan bernama DefiLlama mengumpulkan data peretasan di berbagai aspek dunia mata uang kripto sebagai alat untuk membantu menciptakan kesadaran tentang topik industri yang relevan ini. Berdasarkan data yang dianalisis oleh DefiLlama, $17 miliar telah diretas di berbagai aspek mata uang kripto selama sepuluh tahun terakhir. Namun, jumlah dolar tersebut tidak tersebar merata selama 10 tahun tersebut; ada peristiwa peretasan signifikan yang terjadi dalam rentang tiga tahun dari 2021 hingga 2023 ketika total nilai terkunci (Total Value Locked/TVL) dalam keuangan terdesentralisasi (DeFi) melonjak drastis, dan dengan cepat pula upaya peretasan meningkat karena para penyerang menyadari bahwa ada banyak uang yang ditempatkan di DeFi hanya dengan beberapa bulan audit dan pengujian keamanan.
Pola serangan serupa. Sektor kripto yang baru dengan cepat menarik aliran modal besar – lebih cepat daripada uang dapat diamankan melalui audit keamanan kode formal, lebih cepat daripada teknologi aman dapat diproduksi dan diuji, dan lebih cepat daripada siapa pun dapat sepenuhnya menyelesaikan uji tekanan untuk melihat apa yang terjadi ketika $100 juta aset individu disimpan di dalam kontrak yang baru berumur tiga minggu. Para penyerang mengamati masuknya uang dengan cepat dan mulai mencari peluang untuk mencari tahu bagaimana mereka dapat membobol uang tersebut.
Jembatan lintas rantai (Cross-chain bridges) memiliki catatan sebagai fokus serangan skala besar. Pada tahun 2022, eksploitasi jembatan Ronin mengakibatkan kerugian $625 juta. Eksploitasi Wormhole mengakibatkan kerugian $320 juta dan Nomad mengalami kerugian $190 juta. Salah satu alasan utama mengapa jembatan lintas rantai menjadi target yang sangat menarik bagi calon penyerang adalah karena mereka menyimpan beberapa kumpulan aset besar di kedua sisi dua rantai yang di-host di dalamnya – sehingga jembatan lintas rantai dapat dipahami berfungsi sebagai brankas yang berada di persimpangan dua sistem; sehingga mengamankan persimpangan itu sangat sulit.
Anatomi Peretasan Kripto
Ada banyak cara berbeda bagi peretas untuk mencuri mata uang kripto, dan mengelompokkan semuanya bersama-sama membuatnya lebih sulit untuk memahami apa yang sebenarnya terjadi.
Beberapa peretasan ini terjadi pada tingkat kontrak pintar (smart contract). Dalam jenis peretasan ini, penyerang memanfaatkan beberapa kelemahan dalam cara kontrak pintar dikodekan dan menggunakan kelemahan itu untuk melakukan transaksi keuangan yang diizinkan oleh kontrak pintar tersebut. Serangan pinjaman kilat (flash loan attack) adalah salah satu contoh jenis peretasan ini. Dalam kasus ini, penyerang dapat meminjam sejumlah besar uang dan kemudian, dalam transaksi yang sama, memanipulasi oracle harga atau kumpulan likuiditas, mengambil nilai dari transaksi, dan mengembalikan dana yang dipinjamkan. Semua ini akan terjadi dalam hitungan beberapa detik – tanpa ada kata sandi yang dicuri atau penggunaan server yang tidak sah; satu-satunya hal yang terjadi adalah matematika digunakan melawan dirinya sendiri.
Contoh serangan lain adalah ketika seseorang mendapatkan akses ke kunci privat (private key) yang memungkinkan mereka mengendalikan perbendaharaan protokol atau menandatangani untuk jembatan. Ilustrasi utama dari hal ini adalah peretasan Ronin, di mana peretas yang disponsori negara Korea Utara menargetkan karyawan individu Sky Mavis (pembuat Axie Infinity) untuk mendapatkan cukup akses ke kunci guna menguras dana jembatan tanpa terdeteksi selama enam hari.
Detail ini harus direnungkan: butuh waktu satu minggu penuh bagi peretasan tunggal terbesar dalam sejarah mata uang kripto untuk terdeteksi.
Kemudian ada peretasan bursa terpusat, seperti yang menyimpan uang pelanggan. Keruntuhan FTX bukan karena peretasan dalam arti tradisional, tetapi $400 juta yang ditarik dari dompetnya beberapa jam setelah mengajukan kebangkrutan hampir pasti karena peretasan. Mt. Gox kehilangan 850.000 Bitcoin selama beberapa tahun, dan Mt. Gox tidak pernah dapat mengidentifikasi apa yang terjadi selama peretasan berlangsung.
Siapa yang Melakukan Pencurian
Banyak peretasan paling signifikan yang terjadi bukanlah oportunisme acak. Lazarus Group dari Korea Utara telah dikaitkan dengan miliaran dolar mata uang kripto yang dicuri dari beberapa operasi. Pemerintah AS telah menjatuhkan sanksi pada alamat dompet yang berbeda yang terkait dengan mereka, dan sejumlah perusahaan analitik blockchain telah melacak pergerakan aset dalam serangkaian sistem pencucian uang yang semakin rumit (mixer, lompatan rantai, dan melalui broker yang berlokasi di yurisdiksi dengan regulasi yang buruk).
Pencurian mata uang kripto pada tingkat ini telah menjadi sumber pendapatan bagi negara-bangsa yang disetujui secara resmi. Itu adalah hal yang aneh untuk dikatakan, tetapi ada banyak bukti yang mendukung hal ini, dari berbagai organisasi penelitian independen.
Peretasan lainnya biasanya dilakukan oleh peretas yang kurang canggih (misalnya, pengembang yang menemukan protokol yang belum diaudit, tim yang mencoba bersaing satu sama lain, orang-orang yang memancing pengguna individu).
Apa yang Telah dan Belum Diperbaiki oleh Industri
Di dunia saat ini, audit keamanan kini dilakukan pada setiap peluncuran protokol serius sebagai praktik standar. Program hadiah bug (bug bounty) adalah cara bagi peneliti untuk memiliki jalan untuk mendapatkan pembayaran yang sah karena menemukan kerentanan sebelum peretas melakukannya. Banyak jembatan sekarang menggunakan pengaturan validator yang lebih terdesentralisasi untuk mengurangi risiko satu titik kegagalan.
Meskipun ada upaya-upaya ini, peretasan terus terjadi dengan frekuensi yang belum pernah terjadi sebelumnya. Meskipun ada beberapa upaya untuk memperlambat frekuensi insiden tunggal yang benar-benar membawa bencana, total kerugian kumulatif terus bertambah.
Kenyataannya adalah bahwa banyak bagian infrastruktur kripto dimulai sebagai produk tim kecil yang dibangun dengan tergesa-gesa, dilakukan dalam persaingan yang cepat untuk mengedarkan uang tanpa memiliki waktu untuk memikirkan secara matang skenario "bagaimana jika" dari perspektif penyerang yang memiliki waktu tak terbatas untuk menyerang, serta sarana finansial tak terbatas yang tersedia baginya.
Lingkungan ini memakan biaya industri lebih dari $17 miliar untuk dibangun selama dekade terakhir. Hasil dekade berikutnya bergantung pada apakah industri telah berhasil belajar dari kesalahan tersebut, atau hanya menjadi lebih baik dalam mencatat post-mortem mereka.
