Pada tahun 2025, aktor-aktor berbahaya mengorkestrasi serangkaian insiden keamanan berdampak tinggi yang secara kolektif menguras sekitar USD 2,2 miliar dari platform aset digital. Di puncak daftar, Bybit yang berbasis di Dubai mengalami pelanggaran besar senilai USD 1,4 miliar pada tanggal 21 Februari, ketika penyerang mengeksploitasi kerentanan di dompet multisig berbasis Safe untuk mengotorisasi transfer tidak sah sekitar 401.000 ETH. Penyelidik menunjukkan bahwa kunci penandatanganan yang dikompromikan dan dugaan phishing terhadap operator dompet internal adalah akar penyebabnya; bursa menghentikan penarikan, meluncurkan penyelidikan internal, dan berjanji untuk menghormati saldo pengguna sambil berkoordinasi dengan aparat penegak hukum untuk melacak dana yang dicuri.
Cetus, sebuah bursa terdesentralisasi dengan likuiditas terkonsentrasi pada Sui, menempati peringkat kedua dengan eksploit senilai $223 juta pada bulan Mei. Penyerang memasukkan token palsu ke dalam kolam likuiditas, memanipulasi harga melalui logika pembuat pasar otomatis (AMM), dan berulang kali mengekstrak nilai sebelum tim protokol memperbaiki kerentanan tersebut dan memulihkan sebagian kerugian melalui tindakan white-hat. Balancer V2 diikuti dengan eksploit senilai $128 juta pada November, yang disebabkan oleh bug pembulatan pada kolam stabil yang dapat digabungkan; loop setoran-tarik yang berulang memanfaatkan ketidaksesuaian pembukuan hingga masalah tersebut diidentifikasi dan diatasi.
Di seluruh pertukaran terpusat, Bitget kehilangan $100 juta ketika penyerang melakukan front-running bot market-making internal di pasar VOXEL-nya, memanfaatkan likuiditas tipis untuk keuntungan rendah risiko sebelum menguras kasnya. Phemex mencatat pelanggaran dompet panas senilai $85 juta pada Januari, yang mendorong pembekuan penarikan dan rotasi kunci. Nobitex di Iran melaporkan hilangnya $80 juta dari dompet panas pada Juni, sementara bursa India CoinDCX mengungkap pelanggaran sisi server senilai $44,2 juta pada Juli, kemudian dikaitkan dengan penyalahgunaan kredensial oleh pihak dalam. Platform perpetual terdesentralisasi GMX melihat eksploit senilai $42 juta melalui kerentanan gaya reentrancy pada kolam GLP v1-nya di Arbitrum, menghentikan perdagangan dan menonaktifkan minting hingga perbaikan kontrak diterapkan.
Peristiwa penting lainnya termasuk eksploit hak admin senilai $49,5 juta di Infini, sebuah neobank yang fokus pada stablecoin, dan peretasan dompet panas senilai $48 juta di BtcTurk, yang menyoroti bahwa baik penyimpanan aset maupun logika protokol tetap menjadi vektor serangan yang sering. Pelanggaran-pelanggaran ini menyoroti kebutuhan akan manajemen kunci multisig yang kuat, audit protokol yang ketat, dan kontrol keamanan berlapis untuk melindungi aset pengguna serta menjaga kepercayaan dalam ekosistem blockchain yang terus berkembang.
Komentar (0)