Peretasan Bursa Kripto: Perampokan Terbesar dan Cara Tetap Aman
Lupakan mobil pelarian. Perampokan paling menguntungkan di dunia sekarang dijalankan dengan laptop, karyawan yang tertipu, dan alamat dompet yang tidak akan pernah bisa didapatkan kembali. Peretasan bursa kripto diam-diam telah berkembang menjadi kejahatan online paling menguntungkan, dan kerugiannya tidak melambat. Pada tahun 2025 saja, pencuri menarik sekitar $3,4 miliar dari platform kripto, peningkatan 55% dalam satu tahun, dan satu perampokan menelan hampir setengah dari jumlah tersebut. Simpan koin Anda di bursa dan inilah taruhan yang Anda buat, terlepas dari apakah layar pendaftaran menjelaskannya atau tidak. Bagian yang meyakinkan: hampir semuanya bermuara pada daftar kesalahan yang sama. Hindari kesalahan-kesalahan tersebut, dan Anda akan terhindar dari sebagian besar bahaya.
Mengapa bursa kripto menjadi target yang begitu menggiurkan?
Pikirkan tentang apa sebenarnya bursa itu. Bursa adalah sebuah perusahaan tunggal yang menyimpan miliaran dolar uang orang lain, sebagian besar tersimpan dalam dompet "panas" yang terhubung ke internet sehingga pelanggan dapat bertransaksi pada pukul 3 pagi. Di balik dompet-dompet itu terdapat beberapa lusin karyawan dengan kunci, akses, dan kelemahan manusia yang wajar. Tidak ada brankas bank di dunia yang menyimpan nilai seperti itu.
Itulah pertukaran yang tidak nyaman di inti dunia kripto. Sentralisasi yang sama yang membuat bursa mata uang kripto mudah digunakan juga menjadikannya jebakan. Anda mendapatkan aplikasi yang ramah pengguna, perdagangan instan, dan tombol pengaturan ulang kata sandi. Peretas hanya mendapatkan satu target, bukan sepuluh juta. Merampok bank berarti Anda mendapatkan apa pun yang ada di laci; merampok bursa berarti Anda bisa mendapatkan semuanya sekaligus, lalu memindahkannya ke tempat yang tidak dapat dijangkau pengadilan.
Penting untuk memahami dua jenis dompet kripto yang digunakan oleh bursa. Dompet dingin (cold wallet) disimpan secara offline dan sangat sulit diakses dari jarak jauh, tetapi aksesnya lambat. Dompet panas (hot wallet) tetap online sehingga penarikan dapat diproses secara instan, dan justru karena itulah bagian inilah yang paling banyak dirugikan. Setiap bursa menyeimbangkan keduanya, dan setiap kali salah satunya terlalu condong ke arah kemudahan, maka akan ada lebih banyak keuntungan bagi siapa pun yang berhasil mengaksesnya. Total tahunan menunjukkan keseimbangan tersebut: pencuri mengambil sekitar $2,2 miliar pada tahun 2024 dan $3,4 miliar pada tahun 2025, menurut Chainalysis , dan angka tersebut terus meningkat.
Peretasan bursa kripto terbesar, berdasarkan peringkat.
Daftar ini bukan sekadar daftar aib. Bacalah dari atas ke bawah dan Anda akan melihat perubahan menyeluruh pada sifat serangan tersebut, mulai dari dompet digital yang dibiarkan terbuka hingga kelompok yang didukung negara yang menyusup ke rantai pasokan perangkat lunak. Peringkat ini adalah inti ceritanya.
Bybit 2025: rekor $1,5 miliar
Pada Februari 2025, penyerang menarik sekitar $1,5 miliar dalam Ethereum (Ether) dari Bybit hanya dalam satu sore, peretasan mata uang kripto terbesar yang pernah tercatat dengan selisih yang sangat besar, seperti yang dilaporkan oleh CNBC . Bagian yang seharusnya membuat semua orang khawatir adalah: mereka tidak pernah "membobol" Bybit. Mereka meretas mesin pengembang di Safe{Wallet}, alat penandatanganan pihak ketiga yang digunakan Bybit, dan menyelipkan kode berbahaya ke dalam antarmuka sehingga orang yang menyetujui transfer melihat transaksi normal padahal mereka mengotorisasi transaksi berbahaya. Grup Lazarus Korea Utara berada di balik serangan ini. Bybit, patut dipuji, menutupi kerugian pelanggan dari cadangan mereka sendiri.
Mengapa kasus ini penting, di luar ukurannya: kasus ini menandai perubahan kategori. Selama satu dekade, saran standar untuk bursa kripto adalah "jaga kunci Anda dan simpan sebagian besar dana di penyimpanan dingin," dan Bybit melakukan hal itu. Para penyerang hanya bergerak ke hulu, menargetkan perangkat lunak yang dipercaya oleh bursa tersebut, bukan bursa itu sendiri. Itu adalah masalah yang jauh lebih sulit untuk dipertahankan, karena keamanan Anda sekarang hanya sekuat setiap vendor dan alat dalam rantai Anda. Setiap platform utama menghabiskan beberapa bulan berikutnya untuk mengaudit perangkat lunak yang tidak pernah mereka pikirkan untuk dipertanyakan.
Mt. Gox, Coincheck, dan bencana-bencana awal
Peretasan bursa kripto yang lebih lama lebih kasar, dan sama merusaknya. Ambil contoh Mt. Gox. Dulunya merupakan bursa kripto terbesar di dunia, yang menangani sebagian besar perdagangan Bitcoin di dunia, bursa ini kehilangan sekitar 850.000 BTC dan runtuh pada tahun 2014. Industri ini masih membersihkan kekacauan tersebut. Coincheck diretas pada tahun 2018 dan kehilangan sekitar $530 juta dalam NEM, dan karena alasan yang paling bodoh: mereka membiarkan token tersebut berada di dompet panas tanpa perlindungan tanda tangan ganda. FTX adalah yang paling aneh. Kematiannya pada tahun 2022 sebagian besar disebabkan oleh penipuan, bukan peretasan, namun pada malam yang sama saat mengajukan kebangkrutan, seseorang menguras sekitar $400 juta dari belakang. Penyerang dari luar atau pekerjaan orang dalam? Orang-orang masih memperdebatkannya. Tabel di bawah ini melacak yang terburuk dari semuanya.
| Menukarkan | Tahun | Dicuri | Apa yang gagal? |
|---|---|---|---|
| Bybit | Tahun 2025 | ~$1,5 miliar | Antarmuka penandatanganan pihak ketiga yang telah disusupi |
| Pemeriksaan Koin | Tahun 2018 | ~$530 juta | NEM disimpan di dompet panas, tanpa multi-sig |
| Gunung Gox | Tahun 2014 | ~850 ribu BTC | Pencurian dompet digital yang tidak terdeteksi selama bertahun-tahun |
| DMM Bitcoin | Tahun 2024 | ~$305 juta | Rekayasa sosial terhadap karyawan vendor |
| KuCoin | Tahun 2020 | ~$280 juta | Kunci privat dompet panas bocor (73% berhasil dipulihkan) |
| WazirX | Tahun 2024 | ~$230 juta | Peningkatan multi-sig dieksploitasi |
| FTX | Tahun 2022 | ~$400 juta | Peretasan selama keruntuhan |
Bagaimana peretasan bursa kripto sebenarnya terjadi
Lupakan gambaran dalam film tentang seorang jenius yang memecahkan enkripsi di ruangan gelap. Kriptografi yang melindungi mata uang kripto hampir tidak pernah berhasil ditembus. Yang rusak adalah segala sesuatu di sekitarnya: kunci, staf, dan perangkat lunak yang mereka percayai. Singkirkan jargonnya dan hampir setiap peretasan mata uang kripto ini bermuara pada salah satu dari dua kegagalan.
Kunci yang dicuri dan kebocoran dompet digital
Siapa pun yang memegang kunci pribadi mengendalikan koin tersebut, titik. Jadi untuk mencuri kripto, penyerang langsung mengincar kunci daripada perhitungan matematis yang melindunginya. Kompromi kunci pribadi menyumbang 43,8% dari seluruh dana yang dicuri pada tahun 2024, kategori terbesar sejauh ini. Bursa yang menyimpan terlalu banyak aset di dompet panas, atau menyimpan kunci dengan ceroboh, memberikan seluruh hadiah kepada pencuri begitu satu mesin diretas.
Rekayasa sosial dan pergeseran rantai pasokan
Vektor yang lebih baru dan lebih menakutkan adalah manusia. Agen Korea Utara telah menyamar sebagai perekrut di LinkedIn untuk menanam malware di komputer karyawan — kerentanan rekayasa sosial yang menjadi awal mula pencurian Bitcoin DMM senilai $305 juta. Mereka telah menyuntikkan kode ke dalam alat yang diandalkan oleh bursa, seperti Bybit. Mereka menyalahgunakan kunci API yang bocor, membajak cookie sesi, dan meniru staf dengan cukup meyakinkan untuk membujuk kolega agar menyetujui transfer. Suara dan video deepfake kini juga muncul dalam skema ini, yang membuat saran lama untuk "verifikasi saja apakah itu benar-benar atasan Anda" jauh lebih meragukan daripada kedengarannya. Saya terus kembali ke poin ini karena industri masih memasarkan "enkripsi tingkat militer" sementara pintu yang sebenarnya didobrak adalah seorang insinyur yang lelah mengklik tawaran pekerjaan palsu. Perhitungannya sangat akurat. Orang-orang yang menggunakannya tidak, dan para penyerang telah mengetahuinya bertahun-tahun yang lalu.
Korea Utara: para pelaku di balik pencurian terbesar
Jika ada satu benang merah dalam peretasan bursa kripto modern, itu adalah: satu negara-bangsa melakukan sebagian besar pekerjaan berat. Unit peretasan Korea Utara, terutama Lazarus Group, mencuri sekitar $2,02 miliar hanya pada tahun 2025, sekitar 76% dari semua dana yang hilang akibat pelanggaran layanan tahun itu, menurut Chainalysis. Secara kumulatif, para peneliti di TRM Labs memperkirakan total curian rezim tersebut melebihi $7,3 miliar.
Yang membedakan mereka adalah kesabaran dan skala. Ini bukan aksi perampokan cepat. Mereka melakukan lebih sedikit serangan tetapi jauh lebih besar — menghabiskan waktu berbulan-bulan di dalam target sebelum bergerak, kemudian mencuci dana curian untuk membiayai program senjata negara yang dikenai sanksi. Laju kejahatan pun tidak melambat: TRM Labs mencatat lebih dari $770 juta pencurian kripto di seluruh industri hanya dalam empat bulan pertama tahun 2026, dengan Korea Utara bertanggung jawab atas sekitar 76% di antaranya hanya melalui dua serangan. Hal itu mengubah perspektif keseluruhan masalah. Pencurian bursa terbesar sekarang adalah kejahatan kripto yang dijalankan oleh negara, bukan oportunisme individu, dan Anda berhadapan dengan pemerintah yang memiliki anggaran gaji. Itulah pertarungan yang terus menerus kalah oleh bursa-bursa individual.
Ke mana perginya kripto yang dicuri, dan mengapa Anda jarang mendapatkannya kembali.
Orang-orang berpegang teguh pada cerita yang menenangkan: pasti para peretas akan tertangkap dan uangnya akan kembali. Namun, hal itu hampir tidak pernah terjadi. Perhatikan apa yang terjadi begitu dana berpindah. Para pencuri mengalirkan dana tersebut melalui mesin pengaduk dan jembatan rantai silang , memecah dan menyusun ulang, dan dalam waktu satu jam jejaknya menghilang.
Ada beberapa pengecualian, dan itu hanya membuktikan aturan tersebut. Seorang peretas Poly Network menguras $611 juta pada tahun 2021, kemudian mengembalikan hampir semuanya, untuk alasan yang belum pernah dijelaskan sepenuhnya oleh siapa pun. KuCoin berhasil memulihkan sebagian besar kerugiannya pada tahun 2020 dengan pembekuan cepat dan asuransi. Bybit baru saja mengembalikan uang kepada penggunanya. Mereka adalah yang beruntung. Kreditur Mt. Gox? Masih menunggu lebih dari satu dekade, dengan tenggat waktu yang sekarang diundur ke Oktober 2026 dan puluhan ribu Bitcoin yang belum dikembalikan. Ironi pahitnya adalah semua itu terjadi di blockchain publik, sehingga analis dapat menyaksikan dana curian tersebut mengalir pergi secara real time dan tidak dapat berbuat apa pun untuk menghentikannya. Perlakukan uang yang diambil sebagai uang yang hilang.
FTX memang meninggalkan satu bekas luka yang bermanfaat. Mereka menyeret industri ini menuju bukti cadangan (proof-of-reserves), sebuah cara kriptografi publik bagi bursa untuk menunjukkan bahwa mereka benar-benar memegang koin yang diklaimnya. Apakah itu menghentikan peretasan? Tidak. Apakah itu mengungkap kebangkrutan diam-diam yang disembunyikan FTX selama berbulan-bulan? Sebagian besar, ya. Jadi, ketika sebuah bursa tidak mau mempublikasikannya, buatlah kesimpulan Anda sendiri tentang alasannya.
Cara melindungi kripto Anda dari peretasan bursa kripto
Inilah bagian yang cenderung dilewati oleh daftar "peretasan terbesar" yang dibuat-buat. Peretasan bursa kripto jarang menargetkan pengguna biasa secara langsung, tetapi Anda tetap dapat membuat diri Anda menjadi target yang jauh lebih sulit. Sebagian besar prosesnya tidak glamor dan hanya membutuhkan waktu satu sore.
Penyimpanan mandiri dan penyimpanan dingin
Aturan tertua di dunia kripto masih berlaku: bukan kunci Anda, bukan koin Anda. Untuk apa pun yang Anda pegang dan bukan yang Anda perdagangkan secara aktif, pindahkan dari bursa ke dompet perangkat keras atau penyimpanan dingin lainnya yang tidak pernah terhubung ke internet. Tulis frasa pemulihan di atas kertas, simpan di tempat yang aman, dan jangan pernah mengetiknya ke situs web atau obrolan. Dompet perangkat keras seharga $80 melindungi Anda dari hampir semua serangan yang dijelaskan di atas — karena kunci Anda sama sekali bukan tempat yang dicari peretas.
Mengunci akun pertukaran Anda
Untuk dana yang Anda simpan di bursa, perkuat akun Anda. Gunakan aplikasi otentikasi untuk autentikasi dua faktor, jangan pernah menggunakan kode SMS, yang mudah dicuri melalui pertukaran SIM. Buat daftar alamat penarikan yang diizinkan sehingga dana hanya dapat keluar ke dompet yang telah Anda setujui sebelumnya. Gunakan kata sandi yang unik dan panjang yang tidak ada di tempat lain. Tandai URL bursa yang sebenarnya dan hanya masuk melalui bookmark tersebut, karena cara termurah untuk kehilangan semuanya adalah dengan mengetikkan kata sandi Anda ke situs palsu yang meyakinkan di tab berikutnya. Perlakukan setiap email atau SMS "verifikasi akun Anda" yang tidak terduga sebagai ancaman sampai terbukti sebaliknya. Dan terapkan disiplin sederhana: jangan menyimpan lebih banyak dana di bursa mana pun daripada yang siap Anda rugikan.
Memilih bursa kripto yang lebih aman
Tidak semua bursa memiliki risiko yang sama, dan para pelaku pasar yang bertahan memiliki kebiasaan yang patut diperiksa sebelum Anda menyetorkan uang sepeser pun. Platform yang serius menyimpan sebagian besar aset digital dalam penyimpanan dingin (cold storage), menerbitkan bukti cadangan (proof-of-reserves) sehingga Anda dapat memverifikasi keberadaan koin tersebut, dan menjalankan dana asuransi untuk keadaan darurat. Binance, misalnya, memiliki dana SAFU sebesar $1 miliar, yang baru-baru ini dikonversi menjadi 15.000 BTC, sebagai jaminan bagi pelanggan.
| Bendera hijau | Tanda bahaya |
|---|---|
| Sebagian besar aset berada di penyimpanan dingin. | Pengungkapan keamanan yang tidak jelas atau tidak ada sama sekali |
| Bukti publik atas cadangan | Tidak ada asuransi atau dana cadangan. |
| Otentikasi dua faktor berbasis aplikasi, daftar penarikan yang diizinkan | Login hanya melalui SMS, tidak ada kontrol penarikan dana. |
| Teratur, diaudit, rekam jejak panjang. | Tim anonim, "hasil" yang sangat tinggi |
Yurisdiksi juga penting. Bursa yang terdaftar dan berlisensi di negara dengan pengawasan keuangan yang nyata akan lebih banyak kehilangan jika melakukan kecurangan, dan setidaknya memberi Anda landasan hukum jika terjadi masalah. Platform yang dijalankan oleh tim anonim dari tempat yang tidak jelas tidak menawarkan hal itu, dan justru platform seperti itulah yang cenderung muncul kemudian sebagai penipuan. Selain itu, ada baiknya untuk menyebar kepemilikan aset Anda di lebih dari satu platform, sehingga satu pelanggaran saja tidak akan pernah mengambil semua aset Anda.
Semua ini bukanlah jaminan. Bybit adalah bursa terpusat yang bereputasi dan teregulasi ketika terkena serangan, dan justru itulah intinya: reputasi menurunkan peluang, bukan menghapusnya. Tetapi sinyal-sinyal ini meningkatkan peluang Anda, dan bursa yang menolak untuk membahas keamanannya memberi tahu Anda sesuatu.
Masa depan keamanan bursa kripto
Pertahanan perlahan mulai membaik. Bursa kripto beralih ke dompet MPC yang memisahkan kunci sehingga tidak ada satu mesin pun yang memegangnya, penandatanganan perangkat keras, audit kontrak pintar untuk komponen on-chain-nya, dan perangkat lunak yang mensimulasikan transaksi sebelum disetujui siapa pun. Semua itu membantu mengurangi risiko pelanggaran keamanan. Namun, semua itu tidak memperbaiki titik lemah, yang masih berupa manusia yang dapat ditipu atau disuap. Sampai hal itu berubah, asumsi teraman tentang peretasan bursa kripto adalah bahwa bursa mana pun bisa menjadi target berikutnya, dan langkah paling cerdas adalah menyimpan sebagian besar kripto Anda di tempat yang tidak dapat dijangkau oleh bursa yang diretas .
