Laporan Keamanan Tahunan Hacken 2025
Laporan keamanan tahunan Hacken 2025 mengungkapkan bahwa total kerugian di sektor Web3 meningkat menjadi sekitar $3,95 miliar, naik sekitar $1,1 miliar dibandingkan tahun 2024. Lebih dari setengah kerugian ini terkait dengan aktor ancaman dari Korea Utara. Laporan tersebut menunjukkan bahwa sebagian besar kerugian disebabkan oleh kegagalan kontrol akses dan kelemahan dalam keamanan operasional, seperti kunci yang dikompromikan dan praktik off-boarding yang buruk, bukan karena bug pada kontrak pintar.
Penipuan Mengatasnamakan Staf Dukungan Coinbase
Seorang penipu yang menyamar sebagai staf dukungan Coinbase diduga mencuri lebih dari $2 juta dalam cryptocurrency dari pengguna bursa, menurut penyelidik blockchain ZachXBT. Dalam sebuah posting di platform X, ZachXBT mengungkapkan bahwa ia berhasil mengidentifikasi individu tersebut dengan mencocokkan tangkapan layar grup Telegram, aktivitas media sosial, dan transaksi dompet on-chain yang terkait dengan pencurian tersebut.
Penyelidik tersebut mengklaim bahwa tersangka, yang digambarkan sebagai “aktor ancaman dari Kanada,” telah melakukan penipuan penyamaran dukungan Coinbase selama setahun terakhir dengan menggunakan taktik rekayasa sosial untuk menipu korban agar percaya bahwa mereka sedang berbicara dengan perwakilan resmi dari Coinbase.
Menurut ZachXBT, dana yang dicuri diduga digunakan untuk membeli nama pengguna media sosial yang langka, layanan botol, dan untuk berjudi. Ia juga membagikan video bocoran yang menunjukkan penipu yang dicurigai sedang melakukan panggilan telepon dengan seorang korban, menawarkan dukungan pelanggan palsu.
Teknik Rekayasa Sosial dan Keamanan Operasional
Meskipun rincian teknis spesifik dari setiap insiden tidak dibagikan, penipuan ini dilaporkan mengandalkan teknik rekayasa sosial klasik, di mana penyerang berpura-pura sebagai sosok tepercaya untuk mendapatkan kepercayaan korban dan mengekstrak informasi sensitif atau meyakinkan mereka untuk melakukan transaksi penipuan. ZachXBT menyatakan bahwa tersangka berusaha menutupi jejaknya dengan terus membeli nama pengguna Telegram yang mahal dan menghapus akun lama, tetapi tetap meninggalkan jejak melalui posting publik dan kebanggaan yang sering ditunjukkan di media sosial.
Menurut penyelidik, perilaku online ini membuatnya relatif mudah untuk menghubungkan akun, dompet, dan pergerakan, meskipun ada upaya untuk mengaburkannya. ZachXBT juga mengklaim telah mengidentifikasi alamat rumah penipu yang diduga dengan menggunakan informasi yang tersedia untuk umum, meskipun ia mengatakan tidak akan mempublikasikannya karena aturan platform.
Praktik Terbaik untuk Menghindari Penipuan
Serangan rekayasa sosial dalam dunia cryptocurrency adalah masalah yang signifikan. Praktik terbaik untuk menghindari penipuan ini termasuk:
- Tidak pernah menanggapi panggilan atau pesan yang tidak diminta yang mengklaim berasal dari bursa.
- Menghindari mengklik tautan yang dikirim oleh pihak yang tidak dikenal.
- Selalu menghubungi dukungan pelanggan secara langsung melalui situs web atau aplikasi resmi.
Staf dukungan yang sah tidak akan pernah meminta frasa benih, kredensial login, atau meminta pengguna untuk mengirim dana ke dompet pribadi atau memindahkan percakapan ke aplikasi pesan.
Tren Kerugian Keamanan di Sektor Web3
Kerugian keamanan di sektor Web3 meningkat tajam pada tahun 2025, mencapai sekitar $3,95 miliar. Ini sesuai dengan laporan keamanan tahunan terbaru dari Hacken. Angka ini menunjukkan peningkatan sekitar $1,1 miliar dibandingkan tahun 2024, dengan lebih dari setengah kerugian dikaitkan dengan aktor ancaman yang terkait dengan Korea Utara.
Data menunjukkan bahwa kerugian sangat terkonsentrasi, memuncak di atas $2 miliar pada kuartal pertama tahun ini sebelum turun secara bertahap menjadi sekitar $350 juta pada kuartal keempat. Meskipun penurunan di akhir tahun mungkin menunjukkan kemajuan, Hacken memperingatkan bahwa pola keseluruhan menunjukkan kelemahan operasional yang dalam dan sistemik, bukan lonjakan sementara yang disebabkan oleh bug perangkat lunak yang terisolasi.
Penyebab Kerugian dan Insiden Besar
Menurut laporan tersebut, tahun 2025 menunjukkan satu tren yang sangat jelas: meskipun kerentanan kontrak pintar masih menjadi risiko, kerugian yang paling merusak dan sulit dipulihkan masih didorong oleh kegagalan kontrol akses dan kelalaian dalam keamanan operasional. Manajemen kunci yang lemah, penandatangan yang dikompromikan, dan praktik off-boarding yang buruk diidentifikasi sebagai penyebab dominan dari insiden besar.
Hacken memperkirakan bahwa kegagalan kontrol akses dan masalah operasional menyumbang sekitar $2,12 miliar, atau hampir 54% dari semua kerugian selama tahun tersebut, dibandingkan dengan sekitar $512 juta yang terkait dengan eksploitasi kontrak pintar.
Satu insiden memainkan peran besar dalam membentuk statistik tahun ini. Pelanggaran di Bybit, yang mengakibatkan kerugian hampir $1,5 miliar, dijelaskan dalam laporan sebagai pencurian terbesar yang pernah tercatat dalam industri cryptocurrency. Hacken menyatakan bahwa serangan ini sendiri membantu menjelaskan mengapa kelompok yang terkait dengan Korea Utara bertanggung jawab atas sekitar 52% dari semua dana yang dicuri pada tahun 2025.
Standar Keamanan dan Harapan Masa Depan
Tim forensik Hacken menunjukkan bahwa regulator di berbagai yurisdiksi utama, termasuk Amerika Serikat dan Uni Eropa, telah menetapkan standar untuk keamanan operasional yang kuat. Harapan ini mencakup kontrol akses berbasis peran, pencatatan yang komprehensif, onboarding yang aman dan verifikasi identitas, solusi kustodi tingkat institusi seperti modul keamanan perangkat keras, komputasi multi-pihak, pengaturan multi-tanda tangan, penyimpanan dingin, dan pemantauan berkelanjutan dengan deteksi anomali.
Meskipun demikian, Hacken mencatat bahwa banyak perusahaan Web3 terus beroperasi dengan praktik yang tidak aman sepanjang tahun 2025. Yehor Rudystia, kepala forensik di Hacken Extractor, menunjukkan masalah berulang seperti gagal mencabut akses pengembang selama proses off-boarding, mengandalkan satu kunci pribadi untuk mengelola fungsi protokol yang kritis, dan tidak menerapkan sistem Deteksi dan Respons Titik Akhir.
Ia menjelaskan bahwa langkah-langkah seperti pengujian penetrasi secara berkala, simulasi respons insiden, tinjauan kontrol kustodi, dan audit independen harus dianggap sebagai hal yang tidak dapat dinegosiasikan untuk bursa besar dan kustodian menjelang tahun 2026.
Melihat ke depan, Hacken mengharapkan pengawasan regulasi akan beralih dari panduan lunak menuju persyaratan yang dapat ditegakkan. Co-founder dan CEO Yevheniia Broshevan menyatakan bahwa industri memiliki peluang yang jelas untuk meningkatkan dasar keamanannya dengan mengadopsi perangkat keras penandatanganan yang didedikasikan dan alat pemantauan penting sebagai praktik standar.
