Peretasan dan penipuan kripto menyebabkan kerugian lebih dari US$2,3 miliar tahun ini, menyoroti keberlanjutan kerentanan keamanan dalam industri ini. Angka ini mencakup 165 insiden, menandai peningkatan 40% dari tahun sebelumnya.
Walaupun totalnya lebih rendah dari US$3,7 miliar yang hilang pada 2022, peningkatan serangan yang terus berlanjut menunjukkan bahwa pertahanan industri masih belum memadai menghadapi ancaman yang semakin canggih.
Ethereum dan Kegagalan Kontrol Akses Dominasi Kerugian
Menurut laporan tahunan Cyvers, kerentanan kontrol akses menjadi penyebab utama kerugian, bertanggung jawab atas 81% dari total dana yang dicuri.
Walaupun insiden ini hanya mencakup 41,6% dari kasus, dampaknya yang besar mencerminkan bahaya dari protokol keamanan yang salah kelola. Ethereum menjadi blockchain yang paling terdampak tahun ini, mencatat kerugian lebih dari US$1,2 miliar.
Tren yang cukup mengganggu tahun ini adalah maraknya penipuan “Pig Butchering”. Skema penipuan yang rumit ini menipu lebih dari US$3,6 miliar dari pengguna yang tidak curiga, dengan sebagian besar aktivitas terkonsentrasi pada blockchain Ethereum.
“Lonjakan pelanggaran kontrol akses dan penipuan canggih seperti Pig Butchering menekankan pentingnya penerapan alat penilaian risiko berbasis AI, validasi transaksi, dan deteksi anomali. Keamanan harus berkembang untuk tetap berada di depan serangan yang semakin kompleks dan terkoordinasi,” ujar Cyvers kepada BeInCrypto.
Selain itu, kerentanan smart contract mendominasi lanskap serangan, terutama di DeFi. Kuartal ketiga 2024 menjadi yang terburuk untuk kerugian, dengan US$790 juta dicuri selama periode ini.
“Jika platform kripto ingin menghindari menjadi korban berikutnya dari peretas, mereka perlu menerapkan sistem deteksi dan pencegahan yang kuat dan mengintegrasikannya dengan mekanisme respons krisis mereka. Seperti yang ditunjukkan data Cyvers, 9 dari 10 smart contract yang diretas telah diaudit dan banyak dari mereka telah menjalani uji penetrasi ketat. Ini, jelas, tidak cukup,” terang peneliti Cyvers.
Sebaliknya, Q4 mencatat aktivitas yang jauh lebih rendah, menunjukkan jeda sementara dalam operasi jahat.
Peretasan Aset Kripto Terbesar 2024: WazirX, Radiant Capital, dan DMM Bitcoin
Insiden individu terbesar tahun ini memberikan pengingat yang jelas tentang kerentanan dalam ekosistem kripto.
Pada bulan Juli, exchange kripto India WazirX mengalami peretasan yang menghancurkan, kehilangan sekitar US$234,9 juta. Penyerang memanfaatkan kelemahan dalam dompet multisignature (multisig) exchange, mendapatkan akses tidak sah ke dana.
Dompet multisig, yang memerlukan beberapa kunci pribadi untuk persetujuan transaksi, sering dianggap lebih aman. Namun, insiden ini menunjukkan bagaimana implementasi yang buruk dari sistem semacam itu dapat menyebabkan pelanggaran yang katastrofik.
WazirX sementara menghentikan perdagangan dan penarikan untuk menahan kerusakan dan memulai audit keamanan menyeluruh. Meskipun upaya ini, exchange tetap offline saat mereka mencari persetujuan regulasi untuk melanjutkan operasi.
“Kami berusaha untuk mendapatkan persetujuan pengadilan atas Skema tersebut secepat mungkin. Tunduk pada persyaratan hukum dan regulasi, platform akan melanjutkan perdagangan setelah tanggal Skema efektif,” tulis WazirX baru-baru ini di X (sebelumnya Twitter).
Pada bulan November, otoritas India menangkap seorang tersangka yang terkait dengan peretasan, meskipun dalangnya masih buron. Penyelidik mengkritik Liminal Custody, sebuah perusahaan yang bertanggung jawab untuk mengamankan dompet digital WazirX, karena gagal memberikan informasi penting selama penyelidikan.
Radiant Capital, pemberi pinjaman blockchain terkemuka, menjadi korban profil tinggi lainnya tahun ini. Pada bulan Oktober, platform tersebut kehilangan lebih dari US$50 juta dalam serangan lintas chain.
Peretas dilaporkan mendapatkan akses ke tiga kunci pribadi platform, memungkinkan mereka untuk menguras aset di beberapa jaringan, termasuk Arbitrum, Binance Smart Chain, Base, dan Ethereum.
Serangan ini diatribusikan kepada aktor yang didukung Korea Utara, yang semakin menargetkan sektor kripto dengan taktik canggih. Pelanggaran Radiant Capital mencerminkan risiko yang meningkat terkait operasi lintas chain dan kebutuhan mendesak untuk manajemen kunci pribadi yang lebih baik.
Sementara itu, exchange mata uang kripto Jepang DMM Bitcoin menghadapi salah satu insiden paling parah pada tahun 2024. Pada bulan Mei, platform ini kehilangan sekitar 4.502,9 Bitcoin, yang bernilai US$320 juta pada saat itu, setelah penyerang berhasil membobol kunci pribadi. Meskipun ada upaya panjang untuk memulihkan aset yang dicuri dan meyakinkan pelanggan, DMM Bitcoin mengumumkan penutupannya pada bulan Desember.
Exchange tersebut sejak itu mulai mentransfer akun pengguna ke SBI VC Trade, menandai akhir yang suram bagi operasinya. Insiden ini menyoroti dampak menghancurkan dari keamanan kunci yang tidak memadai, terutama untuk platform terpusat.
Risiko CeFi dan Ancaman Baru dari Teknologi Canggih
Platform keuangan terpusat (CeFi) terus menghadapi tantangan signifikan. Titik kegagalan tunggal, seperti cadangan terpusat dan pengawasan manajemen kunci yang tidak memadai, membuat platform ini menjadi target menarik bagi penyerang.
Ketergantungan pada dompet multisignature, yang terbukti rentan dalam kondisi tertentu, semakin memperburuk risiko ini. Teknologi baru, termasuk komputasi kuantum dan kecerdasan buatan, diperkirakan akan memperkuat ancaman dengan memungkinkan metode serangan yang semakin kompleks.
Perkembangan ini memerlukan langkah-langkah keamanan proaktif untuk mengikuti lanskap ancaman yang dinamis. Para ahli mencatat bahwa insiden seperti pelanggaran WazirX dan Radiant Capital kemungkinan bisa dihindari dengan penggunaan solusi pemantauan ancaman proaktif.
“Kami dapat menilai dengan pasti bahwa serangan menonjol seperti peretasan WazirX senilai US$235 juta dan peretasan Radiant Capital senilai US$50 juta bisa dihindari dan 100% dana bisa diselamatkan, jika perusahaan menggunakan solusi semacam itu,” ujar Cyvers kepada BeInCrypto
Peningkatan tajam dalam aktivitas jahat tahun ini mencerminkan kebutuhan kritis akan pertahanan yang lebih kuat di seluruh ekosistem kripto. Platform yang tidak memiliki pemantauan waktu nyata dan alat keamanan preemptif tetap sangat rentan terhadap pelanggaran, membahayakan dana pengguna.
Industri harus memprioritaskan adopsi langkah-langkah keamanan canggih dan mendorong kolaborasi yang lebih besar antara pemangku kepentingan untuk menangani ancaman yang sedang berlangsung ini secara efektif.
“Serangan zero-day tidak dapat diprediksi dan tidak didasarkan pada praktik sebelumnya yang dikenal. Tanpa mekanisme pemantauan dan deteksi waktu nyata, serta alat preemptif – platform kripto tidak dapat menangani serangan semacam itu dan menggagalkannya secara waktu nyata,” terang para ahli Cyvers.
Seiring pertumbuhan sektor kripto, begitu pula kecerdikan penyerang yang mencari celah untuk dieksploitasi. Insiden tahun ini telah memperjelas bahwa langkah-langkah reaktif tidak lagi cukup.
Penyangkalan
Seluruh informasi yang terkandung dalam situs kami dipublikasikan dengan niat baik dan bertujuan memberikan informasi umum semata. Tindakan apa pun yang dilakukan oleh para pembaca atas informasi dari situs kami merupakan tanggung jawab mereka pribadi.
Selain itu, sebagian artikel di situs ini merupakan hasil terjemahan AI dari versi asli BeInCrypto yang berbahasa Inggris.
