Tahun 2025 menjadi tahun yang penuh tantangan bagi keamanan siber di aset digital, berakhir dengan lebih dari $3,4 miliar crypto dicuri dari ratusan insiden. Penghitungan independen menunjukkan lebih dari 300 insiden keamanan besar sepanjang tahun. Setidaknya, peretas Korea Utara dikaitkan dengan sebagian besar pencurian tersebut, terutama dalam kasus peretasan Bybit.
Laporan 2025 Skynet Hack3d telah hadir.
$3,35 miliar hilang. 700+ insiden. Vektor serangan baru. Tren utama.
Dapatkan rincian paling mendetail tentang keamanan Web3 di 2025, dari eksploitasi hingga wawasan.
Baca laporan lengkapnya👇
— CertiK (@CertiK) 23 Desember 2025
Di bawah ini adalah lima perampokan terbesar tahun 2025, termasuk satu yang terutama disebabkan oleh rekayasa sosial.
Bybit: $1,5 miliar (Februari 2025)
Pihak berwenang AS mengaitkan pencurian crypto terbesar dalam sejarah dengan Lazarus Group dari Korea Utara. Penyelidik mengatakan para penyerang mengambil alih dompet dingin ETH, lalu dengan cepat mencuci dana lintas chain melalui BTC dan mata uang lainnya. Pengungkapan dari exchange dan analisis forensik berikutnya menunjukkan bahwa sebagian besar dana dialirkan melalui THORChain dan dibagi ke puluhan ribu alamat.
Menurut laporan selanjutnya dari Crystal Intelligence, serangan yang dihadapi Bybit merupakan operasi canggih yang berhasil mengkompromikan frontend mereka, sehingga menipu karyawan agar percaya mereka menandatangani transaksi yang sah. WazirX dan Phemex juga diretas dengan cara serupa.
Setelah insiden tersebut, Bybit meluncurkan hadiah pemulihan sebesar 10% dan melibatkan penyelidik blockchain untuk membantu membekukan dana yang dicuri. Sebagian dana telah dilacak, meskipun sebagian besar masih berpindah.
Cetus DEX (Sui): $220 juta (Mei)
DEX terbesar dan penyedia likuiditas di Sui, Cetus, kehilangan $220 juta hanya dalam 15 menit. Menurut Merkle Science, para peretas tidak mengeksploitasi kerentanan smart contract, yang biasa terjadi di industri ini. Sebagai gantinya, mereka memanfaatkan bug pembulatan di library matematika pihak ketiga, yang digunakan untuk perhitungan likuiditas dan harga.
Penyerang menyalahgunakan kelemahan pada pembulatan/pemeriksaan MSB untuk memanipulasi parameter pool dan mengekstrak aset. Tim bergerak cepat untuk memberhentikan kontrak dan kemudian mengklaim sekitar $160 juta telah dibekukan atau dipulihkan.
Namun, lebih dari $60 juta tetap berisiko. Ini adalah eksploitasi DeFi terbesar tahun ini dan sempat menghentikan perdagangan di ekosistem Sui.
Balancer: $116 juta (November)
Pelanggaran pada Balancer, protokol DeFi yang populer, awalnya terdeteksi oleh penggiat crypto di X. Seorang penyerang mengeksploitasi bug pembulatan dalam logika stable pool Balancer V2 di Ethereum dan beberapa L2 serta sidechain. Pengungkapan Balancer mengonfirmasi akar penyebab teknisnya.
Perkiraan awal menempatkan kerugian mendekati $120 juta, dengan sebagian besar terjadi di mainnet Ethereum. Selain itu, whale yang sebelumnya tidak aktif menarik $6,5 juta segera setelah peretasan. Total Value Locked (TVL) Balancer anjlok dari $442 juta menjadi $214,5 juta hanya dalam satu hari.
Namun, menurut Crystal Intelligence, sebagian besar dana telah dilacak. Dompet-dompet tersebut kini diawasi secara ketat untuk potensi transaksi pembekuan dana curian.
Phemex (CEX): $73 juta (Januari)
Phemex, centralized exchange (CEX) yang berbasis di Singapura, mengalami kompromi hot-wallet di 16 chain. Perusahaan keamanan menandai puluhan aliran dana mencurigakan dari hot wallet Phemex di jaringan utama.
Ini adalah peretasan besar pertama tahun 2025 yang mengguncang komunitas. Pakar terkenal di X, ZachXBT, yang juga terlibat dalam investigasi Bybit, membuktikan bahwa serangan terhadap Phemex dan Bybit dilakukan oleh Lazarus dan menggunakan alamat yang serupa.
Lazarus Group baru saja menghubungkan peretasan Bybit dengan peretasan Phemex langsung on-chain dengan mencampur dana dari alamat pencurian awal kedua insiden tersebut.
Alamat yang tumpang tindih:
0x33d057af74779925c4b2e720a820387cb89f8f65Transaksi peretasan Bybit pada 22 Februari 2025:…
— ZachXBT (@zachxbt) 22 Februari 2025
Setelah insiden tersebut, perusahaan sepenuhnya menghentikan deposit dan penarikan, namun pada bulan Februari, layanan telah sepenuhnya dilanjutkan dengan penguatan keamanan tambahan.
Upbit (CEX): lebih dari $30 juta (November)
Bursa terbesar Korea Selatan, Upbit, melaporkan peretasan pada bulan November, dengan total dampak sebesar 44,5 miliar won (sekitar $34 juta). Dana pelanggan diganti dari cadangan, sementara 5,9 miliar won ($4 juta) dana perusahaan Upbit hilang. Hanya sebagian kecil, $1,77 juta, yang berhasil dibekukan melalui pelacakan.
Upbit menghentikan aliran Solana, memindahkan dana ke cold storage, berkoordinasi dengan penerbit/exchange untuk pembekuan, dan perlahan-lahan membuka kembali dompet dengan alamat deposit baru. Meskipun ada penggantian dana, insiden ini menyoroti risiko konsentrasi pada CeFi.
Peretasan Crypto 2025 dalam Angka
- Total yang dicuri: $3,3-3,4 miliar (rentang mencerminkan perbedaan metodologi antara Chainalysis dan Beosin/Footprint).
- Jumlah insiden: ~313 kasus besar (Beosin/Footprint).
- Snapshot H1: sekitar $2,5 miliar dicuri dari lebih dari 300 insiden. Menurut CertiK, ini sudah melampaui total tahun 2024.
- Serangan tipikal: dompet yang dikompromikan dan phishing/rekayasa sosial menjadi pendorong utama.
- Platform yang ditargetkan: Beberapa serangan di level infrastruktur mendominasi kerugian (misalnya, Bybit), sementara jumlah insiden DeFi secara keseluruhan tetap jauh lebih tinggi, meski dengan kerugian yang lebih kecil.
🛡️ Beosin dengan senang hati merilis Laporan Keamanan Web3 Global 2025!
🔍 Sorotan Utama:
Pada 2025, total kerugian di ekosistem Web3 dari peretasan, #phishing scam, dan rug pull mencapai $3,375 miliar di 313 insiden keamanan utama.Insiden Utama: Kerugian tunggal terbesar…
— Beosin 🛡 Web3 Security & Compliance (@Beosin_com) 29 Desember 2025
Mengapa Rekayasa Sosial Semakin Penting
Secara umum, perusahaan keamanan mencatat adanya pergeseran menuju kompromi faktor manusia dan rantai pasok. Peretas beralih dari frontend berbahaya dan trik UI multisig ke peniruan eksekutif dan pencurian kunci, sehingga mengurangi proporsi bug solidity murni. Kerugian di luar kebiasaan tahun 2025 sebagian besar disebabkan oleh kegagalan kontrol akses, bukan inovasi matematika on-chain.
Yana Khlebnikova bergabung dengan CoinSpeaker sebagai editor pada Januari 2025, setelah sebelumnya bekerja di Techopedia, crypto.news, Cointelegraph, dan CoinMarketCap, tempat dia mengasah keahliannya dalam jurnalisme cryptocurrency.
