Apakah Kripto Bisa Diretas? Blockchain, Dompet & Peretasan
Jadi, apakah kripto bisa diretas? Bisa dibilang iya, tapi juga tidak sepenuhnya. Mari saya jelaskan.
Buku besar blockchain itu sendiri, rantai sebenarnya yang dikonfirmasi oleh jaringan blockchain, belum pernah diretas. Tidak sekali pun dalam 17 tahun. Setiap berita utama besar yang Anda baca tentang peretasan kripto? Itu terjadi di tempat lain. Bursa. Jembatan. Kontrak pintar. Aplikasi dompet seseorang. Bagian yang aman dan bagian yang berbahaya berdampingan di layar Anda, dan kebanyakan orang tidak dapat membedakannya sampai mereka kehilangan uang.
Tahun 2025 membuat hal ini menjadi masalah pribadi bagi banyak orang. Para penyerang berhasil membawa kabur dana curian senilai $3,4 miliar dari layanan kripto tahun lalu saja, menurut pembaruan Chainalysis pada bulan Desember tentang risiko teknologi blockchain. CertiK mencatat $3,35 miliar dari 630 insiden terpisah. TRM Labs mencatat $2,87 miliar. Tiga perusahaan, tiga metodologi, jawaban yang sama. Tahun terburuk yang pernah tercatat. Dan hampir tidak ada yang menyentuh blockchain itu sendiri.
Izinkan saya menjelaskan di mana sebenarnya pencurian terjadi, di mana risiko sebenarnya berada, dan apa yang sebenarnya dapat Anda lakukan untuk mengatasinya.
Apakah kripto bisa diretas? Jawaban langsung terlebih dahulu.
Jadi, apakah kripto bisa diretas secara signifikan? Kripto benar-benar bisa dicuri. Namun, buku besar blockchain yang menyimpannya, hampir tidak pernah bisa dicuri.
Kedengarannya seperti permainan kata, tetapi sebenarnya bukan. Ketika orang mengatakan "Bitcoin diretas," mereka biasanya merujuk pada salah satu dari tiga hal: koin seseorang dicuri dari bursa, kunci pribadi dompet dikompromikan, atau kontrak pintar yang berjalan di atas rantai dikuras. Tidak satu pun dari itu merupakan serangan terhadap Bitcoin atau Ethereum itu sendiri. Baik lapisan dasar Bitcoin maupun Ethereum belum pernah mengalami pelanggaran aturan konsensus, dan keduanya telah berjalan selama lebih dari satu dekade dengan nilai miliaran dolar yang tersedia bagi siapa pun yang cukup pintar untuk meretasnya. Label "blockchain yang tidak dapat diretas" hanya setengah benar: rantai itu sendiri aman dan tahan, tetapi permukaan di sekitarnya penuh dengan target.
Mulailah dengan perbedaan ini karena hal itu mengubah cara Anda berpikir tentang pertahanan. Jika rantai adalah mata rantai yang lemah, tidak ada yang akan menyelamatkan Anda. Karena mata rantai yang lemah terpasang di atas rantai (penyimpanan, manajemen kunci, perilaku pengguna, kode kontrak pintar), Anda sebenarnya memiliki kendali atas sebagian besar hal tersebut.
Memahami keamanan blockchain dan cara kerja transaksi.
Sebelum kita melihat apa yang bisa rusak, izinkan saya menjelaskan apa yang sebenarnya menopang sistem ini. Memahami keamanan blockchain bermuara pada tiga mekanisme yang saling tumpang tindih, dan kebanyakan orang hanya mengetahui salah satunya dan mengabaikan dua mekanisme lainnya.
Mulailah dengan enkripsi dan kriptografi. Setiap transaksi blockchain ditandatangani dengan kunci privat dan diverifikasi dengan kunci publik yang sesuai. Jika Anda ingin membongkar kuncinya, Anda melakukan pencarian secara paksa pada angka 256-bit. Angka-angka seperti itu berada di antara "lebih panjang daripada kematian panas alam semesta" dan sama sekali tidak mungkin dilakukan pada komputer klasik mana pun yang kita ketahui cara membuatnya. Rantai seperti Bitcoin mengenkripsi setiap tanda tangan transaksi dengan cara ini. Satoshi memilih ECDSA untuk mengenkripsi kunci pada tahun 2008, dan metode ini tetap digunakan hingga sekarang.
Kemudian, proses hashing. Setiap blok transaksi mata uang kripto diproses melalui algoritma seperti SHA-256. Setiap blok baru menyematkan hash dari blok sebelumnya. Ubah satu transaksi yang terkubur di suatu tempat dalam riwayat, dan setiap hash di hilir akan rusak. Itulah mengapa blockchain disebut tidak dapat diubah (immutable). Bukan karena tidak ada yang ingin mengeditnya. Tetapi karena Anda tidak dapat mengeditnya tanpa seluruh rantai (chain) mengalami masalah.
Bagian ketiga, yang paling sering disalahpahami, adalah konsensus. Bayangkan ribuan node independen di jaringan blockchain, semuanya menjalankan aturan yang sama, semuanya saling memeriksa. Tidak ada akun admin. Tidak ada tombol jeda. Tidak ada kantor pusat yang dapat diserbu siapa pun. Untuk menulis ulang sejarah, Anda perlu mengungguli kemampuan komputasi atau mempertaruhkan dana mayoritas yang jujur. Itulah yang dimaksud orang ketika mereka mengatakan blockchain mendesentralisasi kepercayaan. Jaringan blockchain yang terdesentralisasi tidak memiliki satu pihak pun yang dapat disuap, dipanggil, atau diserang DDoS secara offline.
Gabungkan ketiga hal tersebut dan Anda akan mendapatkan sesuatu yang luar biasa: transaksi yang dikonfirmasi oleh blockchain pada dasarnya bersifat permanen, dan teknik kriptografi serta mekanisme konsensus bersama-sama menghilangkan kebutuhan akan bank sentral, hanya saja tanpa bank. Itulah bagian yang aman. Bagian yang tidak aman adalah setiap manusia, setiap bursa, setiap aplikasi dompet, setiap kontrak pintar yang berada di atasnya.
Apakah Bitcoin pernah diretas? Lapisan dasarnya masih tetap aman.
Versi singkatnya? Tidak.
Layer 1 Bitcoin belum pernah berhasil diserang. Tidak sekali pun dalam 17 tahun. Bug? Ya, sudah ditambal. Fork yang berantakan? Banyak. Drama tanpa henti di Twitter tentang ukuran blok? Tentu. Tetapi buku besar inti belum pernah ditulis ulang. Setiap transaksi baru ditambahkan ke blockchain hanya setelah memenuhi aturan yang sama yang telah menjaga blockchain Bitcoin sejak blok pertama pada Januari 2009.
Inisiatif Mata Uang Digital MIT mencatat setiap serangan 51% yang diketahui pada jaringan proof-of-work. Baris Bitcoin kosong. Baris mainnet Ethereum juga kosong. Peretasan DAO yang terkenal pada tahun 2016? Itu adalah bug dalam satu kontrak pintar yang berjalan di Ethereum, bukan pada rantai itu sendiri. Akibatnya, Ethereum dan Ethereum Classic ada hingga saat ini sebagai dua jaringan yang tidak dapat menyepakati apa yang harus dilakukan.
Sekarang kita bahas sisi ekonominya, yang hampir lebih meyakinkan daripada perhitungan matematisnya. Media berita kripto menghitung angkanya pada tahun 2024 dan memperkirakan biaya serangan 51% pada Bitcoin sekitar $6 miliar. Perangkat keras, listrik, kolokasi, dan lain-lain. Lalu apa? Saat serangan berhasil, harga Bitcoin akan anjlok. Koin Anda yang dicuri akan bernilai sebagian kecil. Peternakan ASIC Anda akan menjadi pemanas ruangan. Penyerang membeli saat harga tinggi dan menjual saat harga rendah dengan sengaja. Salah satu cara paling mahal untuk kehilangan uang yang pernah dirancang.
Jadi, aksi sebenarnya tidak pernah terjadi di bawah sana. Aksi sebenarnya selalu terjadi satu lapisan di atas.
Di mana mata uang kripto sebenarnya dicuri
Bayangkan ekosistem kripto sebagai sebuah bangunan. Blockchain adalah fondasinya. Di atasnya terdapat kontrak pintar, jembatan penghubung, bursa, kustodian, dan di puncaknya, pengguna dengan dompet mereka. Hampir setiap peretasan yang Anda baca terjadi di salah satu lantai atas. Sebagian besar peretasan terjadi melalui situs pihak ketiga, plugin, dan alat yang secara diam-diam akhirnya mengendalikan dana Anda.
Chainalysis mengumpulkan data tahun 2024 dan menemukan bahwa kompromi kunci pribadi saja menyumbang 43,8% dari semua yang dicuri. Kompromi kunci pribadi. Bukan bug kontrak pintar. Kunci. Dompet pribadi (bukan bursa, bukan DeFi) melonjak menjadi 44% dari nilai yang dicuri, naik dari 7,3% pada tahun 2022. Kemudian pada tahun 2025, TRM Labs mengatakan 76% kerugian berasal dari apa yang mereka sebut serangan infrastruktur. Penandatangan yang dikompromikan. Penyedia cloud. Laptop pengembang. Rekayasa sosial yang ditujukan kepada staf pendukung. Apakah eksploitasi kontrak pintar masih terjadi? Ya. Apakah peretas masih mengeksploitasi kerentanan dalam protokol baru? Sepanjang waktu. Tetapi itu bukan lagi peristiwa utama.
Peretas sering mengikuti aliran uang, dan targetnya berpindah-pindah. DeFi mendominasi pada tahun 2021 hingga 2023. Layanan terpusat dan dompet pribadi mengambil alih pada tahun 2024 dan 2025. Polanya bersifat ekonomi, sangat membosankan. Satu penandatangan yang diretas di perusahaan yang tepat dapat memindahkan uang jauh lebih banyak daripada yang dapat dilakukan oleh satu individu. Jadi target utama peretas saat ini bukanlah pemegang biasa. Mereka adalah para insinyur, staf pendukung, dan pengembang yang memegang kunci kepemilikan mata uang kripto orang lain.
Serangan dompet digital: penipuan kunci pribadi dan alamat dompet digital
Dompet kripto sebenarnya tidak menyimpan koin. Dompet tersebut menyimpan kunci pribadi yang mengontrol ke mana koin tersebut dapat dipindahkan di blockchain. Jika kunci hilang, koin pun hilang. Jika kunci bocor, orang lain akan mendapatkan koin Anda. Itulah modelnya.
Dompet digital dapat dibagi menjadi dua kelompok besar. Dompet panas (hot wallet) berada di perangkat yang terhubung ke internet. Contohnya aplikasi telepon, ekstensi browser, dan saldo di bursa. Dompet panas praktis namun rentan, karena malware apa pun di perangkat atau browser yang terinfeksi dapat menjadi celah bagi peretas untuk menguras dompet. Dompet dingin (cold wallet), termasuk dompet perangkat keras dan pengaturan yang terisolasi dari internet (air-gapped), menyimpan kunci Anda secara offline; di dompet dingin, kunci pribadi disimpan di dalam chip yang tidak pernah terhubung ke internet. Dompet dingin jauh lebih sulit untuk diretas, itulah sebabnya sebagian besar pemegang aset digital serius menggunakannya untuk aset yang tidak mereka rencanakan untuk diperdagangkan minggu ini.
Jebakan alamat dompet adalah kategori tersendiri. "Peracunan alamat" terjadi ketika penyerang mengirimkan transaksi kecil dari alamat dompet yang hampir identik dengan alamat yang biasa Anda gunakan untuk mengirim transaksi. Empat karakter pertama sama, empat karakter terakhir sama, bagian tengah berbeda. Kemudian, ketika Anda menyalin dari riwayat transaksi Anda sendiri, Anda secara tidak sengaja menempelkan alamat yang telah diracuni tersebut. Para peneliti Carnegie Mellon menemukan 270 juta upaya semacam ini yang tercatat di seluruh blockchain publik, dengan kerugian yang dikonfirmasi sekitar $83,8 juta. Pada Desember 2025, seorang pedagang tunggal kehilangan $50 juta dalam USDT akibat serangan peracunan alamat semacam itu.
Hal yang kurang nyaman di sini: blockchain berperilaku persis seperti yang dirancang. Transaksi dikonfirmasi. Tidak ada pelanggaran keamanan, tidak ada kerentanan, tidak ada bug. Pengguna hanya menempelkan string yang salah.
Pelanggaran keamanan bursa dan peretasan kripto terbesar tahun 2024-2025
Bursa kripto adalah tempat sebagian besar aset kustodian industri ini berada, dan mereka tetap menjadi target utama. Peretasan kripto terbesar dalam dua tahun terakhir mengikuti pola yang jelas: penyerang mengincar kunci, bukan kode.
| Insiden | Tanggal | Jumlah | Vektor serangan |
|---|---|---|---|
| Bybit | 21 Februari 2025 | $1,4-1,5 miliar | Pengembang Safe{Wallet} melakukan pelanggaran, Grup Lazarus |
| DMM Bitcoin | 31 Mei 2024 | $305 juta | Pencurian kunci pribadi, terkait dengan Korea Utara |
| PlayDapp | 9-12 Februari 2024 | $290 juta | Eksploitasi pencetakan dua tahap |
| Protokol Pergeseran | 1 April 2026 | $285 juta | Solana DeFi yang terkait dengan Korea Utara |
| WazirX | 18 Juli 2024 | $234,9 juta | Eksploitasi dompet multi-sig, Lazarus Group |
| Cetus (Sui) | 22 Mei 2025 | $223 juta | Kelemahan kontrak pintar (sebagian telah diperbaiki) |
| Penyeimbang V2 | 3 November 2025 | $128 juta | Eksploitasi pool multi-rantai |
| Nobitex (Iran) | 18 Juni 2025 | $80-90 juta | Aktivis peretas, dana dilaporkan telah dibakar. |
| Ibu Kota Bercahaya | 16 Oktober 2024 | $50 juta | Malware pada dompet perangkat keras pengembang |
| GMX V1 | 9 Juli 2025 | $42 juta | Reentrancy (dikembalikan dengan hadiah $5 juta) |
Lihat lagi angka Bybit itu. $1,4 miliar dari satu kali pelanggaran data. Lebih banyak daripada gabungan semua kampanye phishing ritel tahun 2025. Menurut pengumuman layanan publik IC3 FBI, penyerang masuk ke mesin pengembang di Safe{Wallet}, infrastruktur multi-sig yang digunakan Bybit. Mereka memasukkan kode berbahaya. Para penandatangan melihat transaksi yang tampak sah, mengklik setujui, dan 401.347 ETH hilang.
Nah, sekarang bagian yang menarik. Tempat-tempat perjudian terkemuka yang diatur oleh AS mengalami semacam kemenangan aneh pada tahun 2024 dan 2025. Bukan berarti tidak ada insiden sama sekali. Hanya saja tidak ada pencurian dana yang sebenarnya.
Coinbase diretas pada Mei 2025. Penyerang menyuap kontraktor dukungan di vendor bernama TaskUs dan membawa kabur data 69.461 pelanggan. Mereka menuntut $20 juta. Coinbase menolak permintaan mereka dan memilih untuk melakukan penawaran umum perdana (IPO). Tidak satu pun pelanggan kehilangan kripto.
Kraken mengungkapkan insiden orang dalam pada Februari 2025 yang melibatkan sekitar 2.000 akun (kira-kira 0,02% dari penggunanya). Binance dilaporkan mengabaikan upaya rekayasa sosial serupa pada Mei 2025. Tidak satu pun dari kasus-kasus ini berujung pada pencurian aset pelanggan. Itu adalah rekam jejak yang berarti, dan merupakan salah satu alasan terbaik untuk menggunakan platform yang teregulasi dan diasuransikan dengan baik jika Anda membeli kripto secara teratur.
Kontrak pintar, DeFi, dan taktik peretas jembatan
Kontrak pintar adalah kode. Itu saja. Kode yang berjalan di blockchain. Jika kode tersebut memiliki bug, seseorang akan memanfaatkannya, dan blockchain akan dengan senang hati mengkonfirmasi setiap transfer karena sejauh yang diketahui blockchain, kontrak tersebut telah melakukan apa yang diperintahkan. Tidak ada kecurangan yang terdeteksi. Peretasan kontrak pintar adalah wilayah klasik peretas. Bug reentrancy. Kesalahan matematika. Manipulasi oracle. Kesalahan logika yang tersembunyi di dalam protokol pinjaman. Secara teknis, hal-hal yang indah jika Anda menyipitkan mata. Hanya saja, seperti yang kita lihat, bukan lagi sebagian besar kerugian.
Bridge adalah masalah tersendiri. Begini cara kerjanya, kurang lebih. Anda ingin memindahkan token dari Ethereum ke, misalnya, Arbitrum. Bridge mengunci token Anda di Ethereum dan mencetak salinan "terbungkus" di sisi lain. Artinya, bridge harus berada di atas tumpukan besar token asli di suatu tempat, dijaga oleh beberapa penanda tangan multisig atau sejumlah logika kontrak pintar. Jika salah satu sisi dibobol, bridge akan kosong. Riset Chainlink memperkirakan kerugian kumulatif bridge mencapai sekitar $2,8 miliar. Itu sekitar 40 sen dari setiap dolar yang pernah diretas di Web3. Aduh.
Beberapa kasus bridge menjadi acuan bagi seluruh kategori ini. Ronin Bridge, Maret 2022: $625 juta, karena penyerang mendapatkan lima dari sembilan kunci validator. Poly Network, Agustus 2021: $612 juta melalui bug panggilan lintas kontrak, dan kemudian, dalam plot twist yang mungkin paling aneh di dunia kripto, peretas mengembalikan sebagian besar uang tersebut. Wormhole, Februari 2022: $326 juta melalui celah verifikasi tanda tangan. Orbit Chain, 2 Januari 2024: $81 juta setelah 7 dari 10 multisig dikompromikan. Keamanan bridge memang meningkat secara signifikan setelah semua itu. Namun, masalah intinya tetap sama. Jaminan gabungan yang sangat besar yang dijaga oleh kelompok kecil penandatangan masih menjadi daya tarik bagi siapa pun yang memiliki waktu dan motivasi.
Korea Utara, Lazarus, dan kejahatan kripto terorganisir
Satu pihak yang terus muncul dalam laporan insiden ini adalah Lazarus. Tim-tim yang terkait dengan negara Korea Utara, sebagian besar Lazarus sendiri tetapi juga APT38, BlueNoroff, TraderTraitor, dan kru Famous Chollima yang lebih baru. Anggap saja mereka sebagai badan eksploitasi kripto berskala nasional kecil, yang didanai penuh dan sabar.
Angka-angkanya sangat mengerikan. Pada tahun 2024, Chainalysis melacak $1,34 miliar dari 47 insiden yang melibatkan penyerang Korea Utara. Itu adalah 61% dari total nilai curian tahun itu. Pada tahun 2025, angka tersebut langsung melonjak menjadi $2,02 miliar, peningkatan 51% dari tahun sebelumnya. Pencurian kumulatif yang terkait dengan Lazarus kini telah melewati $6,75 miliar sejak tahun 2017. Seluruh negara. Satu kelompok pelaku ancaman.
Apa sebenarnya yang mereka lakukan? Menggunakan taktik yang sama, berulang-ulang. Mencari seorang insinyur kripto. Atau kontraktor staf pendukung. Menghubungi mereka melalui LinkedIn atau Telegram dengan tawaran pekerjaan yang terlihat nyata. Mengirimkan "tantangan pemrograman" atau "aplikasi dompet" yang diam-diam menginstal malware. Mengumpulkan kredensial. Menunggu. Kemudian menguras dompet atau bursa selama berminggu-minggu atau berbulan-bulan. Setelah dana keluar, pencucian uang dimulai: mixer, pertukaran lintas rantai, bursa berlapis yang menghapus jejak aktivitas ilegal.
Kasus Radiant Capital pada Oktober 2024 adalah contoh kasus yang sempurna. Mantan kontraktor mengirimkan PDF melalui Telegram. Ternyata itu bukan PDF. Lima puluh juta dolar hilang begitu saja. Beberapa penandatangan dirugikan sekaligus, karena mereka semua meninjau "dokumen" tersebut di komputer masing-masing.
Menyebut ini sebagai serangan terhadap kripto mengabaikan apa yang sebenarnya terjadi. Ini adalah operasi intelijen terhadap individu-individu yang kebetulan bekerja di bidang kripto. Antivirus sedikit membantu. Paranoia lebih membantu.
Serangan 51% dan risiko teoritis blockchain
Serangan 51%. Anda pernah mendengar istilah ini. Apa sebenarnya artinya?
Satu pihak mendapatkan lebih dari setengah daya komputasi jaringan (pada proof-of-work) atau koin yang dipertaruhkan (pada proof-of-stake). Dengan mayoritas tersebut, mereka dapat membalikkan transaksi terbaru atau menyensor transaksi baru. Ini adalah serangan konsensus klasik. Dan dalam kehidupan nyata, serangan ini hanya pernah mengenai jaringan blockchain kecil.
Bitcoin Gold adalah contoh kasus yang paling menonjol. Dua kali terkena dampak. Mei 2018 merugikan sekitar $18 juta dalam dana yang dibelanjakan ganda. Januari 2020, kerugian lain sebesar $70.000. Ethereum Classic juga terkena dampak pada Agustus 2020, dengan kerugian $5,6 juta akibat dana yang dibelanjakan ganda. Mengapa rantai kripto tersebut? Tingkat hash rate yang rendah. Anda bisa menyewa daya penambangan yang cukup untuk akhir pekan hanya dengan beberapa puluh ribu dolar dan mendapatkan keuntungan.
Bitcoin adalah planet yang berbeda. Tingkat hash-nya ribuan kali lebih besar. Pool staking Ethereum mengunci puluhan juta ETH. Secara teoritis, bisakah seseorang melakukan serangan 51% terhadap mereka? Tentu. Apakah itu masuk akal secara finansial? Tidak. Koin yang Anda curi akan menyebabkan harga aset yang baru saja Anda curi anjlok, dan peralatan penambangan atau staking Anda menjadi tidak berharga dalam sekejap.
Ancaman teoritis lainnya? Ada. Penambangan egois pada proof-of-work. Serangan jarak jauh pada proof-of-stake. Tidak ada yang dipertaruhkan pada beberapa desain PoS awal. Tak satu pun dari ancaman tersebut yang benar-benar memberikan dampak signifikan pada rantai top-20. Jadi, ketika seseorang mengatakan "Bitcoin tidak dapat diretas," inilah yang mereka maksud. Lapisan konsensus, ya. Segala sesuatu di atasnya, tidak.
Komputasi kuantum adalah faktor tak terduga yang masih berjarak satu dekade lagi. Vitalik Buterin baru-baru ini memperkirakan kemungkinan munculnya mesin kuantum yang mampu memecahkan kriptografi sebelum tahun 2030 sekitar 20%. Adam Back dari Blockstream berpendapat bahwa itu masih beberapa dekade lagi. Di antara para ahli, rentang waktu yang disebutkan berkisar antara tahun 2029 hingga 2035.
Apakah ada yang sedang bersiap? Ya. Solana menjalankan uji tanda tangan pasca-kuantum Layer-1 pertama di testnet-nya pada Desember 2025. Ethereum Foundation memiliki tim Pasca-Kuantum khusus yang mengerjakan jalur migrasi. Jadi industri ini tidak tertidur. Namun, pekerjaan belum selesai. Belum ada yang tahan kuantum yang diluncurkan ke mainnet.
Phishing dan penipuan mata uang kripto umum
Inilah kenyataan pahitnya. Sebagian besar kerugian tidak pernah melibatkan eksploitasi yang rumit. Kerugian tersebut terjadi karena satu orang mengklik tautan yang salah, menandatangani transaksi yang salah, atau mengirim koin ke alamat yang salah dengan sengaja karena seseorang menyuruhnya. Laporan IC3 FBI tahun 2024 mencatat lebih dari 140.000 pengaduan terkait kripto, dengan kerugian sebesar $9,3 miliar. Lonjakan sebesar 66% dari tahun 2023. Warga Amerika berusia di atas 60 tahun kehilangan $2,8 miliar hanya dari 33.000 pengaduan terpisah.
Bisnis pemotongan babi saja sudah mencapai $5,8 miliar. Ini adalah penipuan jangka panjang. Seseorang mengirim pesan pribadi kepada Anda di aplikasi kencan. Atau WhatsApp. Atau Telegram. Mereka ramah. Mereka sebenarnya tidak tertarik pada hal-hal romantis. Kemudian beberapa minggu kemudian, mereka menyebutkan bahwa mereka menghasilkan uang di "platform perdagangan yang hebat." Apakah Anda ingin mencoba? Anda menyetor sedikit. Dasbor menunjukkan keuntungan. Anda menyetor lebih banyak. Akhirnya Anda mencoba menarik dana dan platform tersebut meminta biaya pajak terlebih dahulu. Kemudian biaya lain. Kemudian orang tersebut menghilang.
Menu lainnya meliputi: phishing yang menguras dompet (situs palsu yang menipu Anda untuk menandatangani persetujuan berbahaya), airdrop palsu, peniruan identitas admin Telegram, dan serangan SIM-swap yang mencuri kode 2FA SMS Anda.
Ada satu kabar baik kecil. Kerugian akibat phishing yang menguras dompet turun 83% pada tahun 2025 menjadi sekitar $83,85 juta, turun dari sekitar $494 juta pada tahun 2024 (data Scam Sniffer). Mengapa? Antarmuka pengguna dompet sebenarnya menjadi lebih baik. Sebagian besar dompet sekarang memberikan peringatan ketika tanda tangan akan menyetujui pengeluaran token tanpa batas. Namun demikian, jumlah korban tetap sangat besar.
Taktik penipu berubah lebih cepat daripada edukasi konsumen. Jadi, jangan menghafal modus penipuan. Pelajari polanya. Jika orang asing membahas perdagangan kripto, anggap itu sebagai rekayasa sosial. Jika ada pemberitahuan dompet meminta Anda untuk menyetujui sesuatu yang tidak dapat Anda jelaskan, tolak saja. Jika admin Telegram mengirim pesan pribadi menawarkan bantuan, itu bukan admin yang sebenarnya.
Mengamankan mata uang kripto Anda: praktik terbaik yang terbukti efektif.
Mengamankan mata uang kripto Anda tidaklah rumit; hanya membutuhkan kebiasaan. Berikut adalah serangkaian langkah keamanan dan praktik terbaik yang ringkas untuk melindungi permukaan serangan bagi pengguna biasa yang memiliki jumlah yang lebih dari sekadar sedikit. Ini adalah praktik keamanan yang sebenarnya dihindari oleh sebagian besar ancaman dan risiko potensial. Ikuti metode yang aman untuk setiap langkah dan permukaan serangan akan menyusut dengan cepat. Ikuti langkah-langkah ini dan Anda melindungi mata uang kripto Anda dari sebagian besar serangan di dunia nyata.
| Lapisan | Praktik | Mengapa ini penting |
|---|---|---|
| Penyimpanan | Gunakan dompet perangkat keras untuk apa pun yang nilainya di atas beberapa ratus dolar; simpan dompet digital (hot wallet) untuk pengeluaran. | Kunci offline menghilangkan celah pencurian yang paling umum. |
| Cadangan | Tulis frasa kunci (seed phrase) di atas kertas atau logam; jangan pernah memotret, mengambil tangkapan layar, mengirim email, atau menyimpannya di cloud. | Cadangan data benih di cloud secara rutin dimanfaatkan oleh malware. |
| Menukarkan | Lebih baik menggunakan bursa yang teregulasi dengan baik dan memiliki rekam jejak yang bersih; menggunakan platform terpercaya dengan otentikasi dua faktor (2FA) yang diterapkan sangat penting. | Tempat-tempat yang bereputasi baik memiliki tanggung jawab hukum dan kontrol internal yang lebih baik. |
| Otentikasi Dua Faktor (2FA) | Gunakan aplikasi otentikasi atau kunci perangkat keras, bukan SMS. | Serangan SIM-swap menargetkan otentikasi dua faktor berbasis nomor telepon. |
| Persetujuan | Tinjau setiap permintaan tanda tangan; cabut izin token lama melalui Revoke.cash atau yang serupa. | Sebagian besar program penguras dompet mengandalkan pengguna untuk menandatangani persetujuan tanpa batas. |
| Transaksi | Verifikasi alamat penerima secara lengkap, bukan hanya empat karakter pertama dan terakhir. | Mengalahkan jebakan peracunan alamat |
| Kebersihan | Sediakan browser atau perangkat khusus untuk penggunaan kriptografi bernilai tinggi. | Mengurangi paparan malware dari penjelajahan internet umum. |
| Kesadaran | Anggap setiap pesan langsung (DM) tentang kripto sebagai upaya phishing sampai terbukti sebaliknya. | Para pelaku kejahatan bergaya Lazarus secara khusus menargetkan para profesional kripto. |
Cara melindungi mata uang kripto Anda di dompet perangkat keras.
Dua catatan tentang dompet perangkat keras. Ledger mengalami pelanggaran data pada Desember 2020 yang membocorkan 270.000 alamat rumah pelanggan, sebuah pengingat bahwa bahkan perusahaan dompet perangkat keras pun menjadi target data (meskipun bukan target dana). Pelanggaran terpisah pada Januari 2026 melalui mitra e-commerce mereka, Global-e, kembali mengungkap data kontak, bukan seed atau dana. Perangkat Anda tetap merupakan tempat teraman untuk kunci Anda; sayangnya, alamat pos Anda tidak.
Beberapa pedagang bertanya apakah dompet dingin dapat diretas. Jawaban jujurnya adalah bahwa dompet dingin yang digunakan dengan baik, disimpan dengan benar, dengan frasa kunci (seed phrase) yang dicadangkan dengan benar, adalah pertahanan terkuat yang tersedia bagi individu yang ingin menyimpan mata uang kripto dalam jangka panjang. Mode kegagalan sebagian besar disebabkan oleh manusia: frasa kunci yang difoto, situs phishing yang menipu pengguna untuk mengetik frasa kunci, informasi sensitif yang dibagikan melalui obrolan, atau membeli "dompet perangkat keras" dari pasar barang bekas di mana seseorang telah menginisialisasi perangkat tersebut sebelumnya. Belilah hanya dari produsen. Ini adalah postur keamanan kuat dasar yang harus diasumsikan oleh setiap orang.
Jika Anda diretas: pencurian, pemulihan, dan hal-hal yang tidak boleh dilakukan
Curiga dompet Anda diretas? Bertindaklah. Sekarang juga. Pertama: hentikan kerugian. Buat dompet baru di perangkat yang bersih, transfer semua yang masih ada di dompet lama, dan ambil sisanya sebelum pencuri mengambilnya. Kedua: cabut semua persetujuan token yang pernah Anda berikan, menggunakan Revoke.cash atau alat serupa. Ketiga: dokumentasikan. Hash transaksi. Cap waktu. Tangkapan layar setiap obrolan, email, atau URL yang terlihat mencurigakan. Seluruh jejak digital. Lakukan ini sebelum hal lain.
Sekarang kita masuk ke bagian yang tidak ingin didengar siapa pun. Pemulihan. Untuk pencurian individu biasa, kurang dari 10% kripto yang dicuri pernah kembali. Transparansi blockchain memang memungkinkan penyelidik untuk melacak dana melalui mixer dan bridge, dan itu bagus. Pelacakan bukanlah pemulihan. Kemenangan besar yang Anda baca (Tether membekukan $3,29 miliar USDT ilegal antara tahun 2023 dan 2025, kira-kira 30 kali lipat dari yang dibekukan Circle dalam jangka waktu yang sama; Inggris menyita 61.000 BTC pada tahun 2025; Cetus mendapatkan kembali $162 juta dari kerugiannya sebesar $223 juta) terkenal justru karena merupakan pengecualian. Hal itu membutuhkan kerja sama dari penerbit stablecoin, pemerintah, atau protokol yang bersedia untuk menekan keras mekanisme tata kelola.
Apa yang sebaiknya tidak Anda lakukan. Jangan pernah menggunakan jasa perusahaan "pemulihan kripto" yang tiba-tiba mengirim pesan pribadi kepada Anda. Atau perusahaan yang menjalankan iklan Instagram. Atau perusahaan dengan halaman arahan yang penuh dengan testimoni selebriti yang dipoles. Seluruh industri itu adalah penipuan lanjutan. Pemulihan yang sebenarnya lambat, membosankan, dijalankan oleh penegak hukum dengan bantuan dari perusahaan seperti Chainalysis atau TRM, dan hampir tidak pernah menjanjikan hasil. Jika ada yang menjamin uang Anda kembali? Tinggalkan saja. Jika mereka meminta uang muka sebelum mereka mengajukan laporan? Lari saja.
Laporkan ke IC3 FBI jika Anda berada di AS (atau lembaga setara setempat), ke bursa jika ada dana yang menyentuh bursa tersebut, dan ke penerbit stablecoin jika stablecoin terlibat. Pembekuan penerbit telah menjadi jalur pemulihan yang nyata. Stablecoin sekarang mewakili 84% dari volume kripto ilegal, menurut Chainalysis. Angka itulah yang menyebabkan jumlah pembekuan Tether terus meningkat.
