Ikhtisar

Sebuah kompilasi dan analisis insiden keamanan di beberapa pertukaran terpusat yang terkenal secara historis untuk aset kripto. Setiap peristiwa mencakup detail serangan, aset yang dicuri dan aliran dana, serta tanggapan resmi dan hasil penanganan selanjutnya.

1. Insiden Mt. Gox (2014)

Rincian Serangan dan Analisis Taktik Hacker

Mt. Gox pernah menjadi salah satu pertukaran Bitcoin terbesar, namun pada tahun 2014, kerentanan keamanan menyebabkan sejumlah besar Bitcoin dicuri. Para peretas memanfaatkan kelemahan keamanan di hot wallet pertukaran, secara bertahap mentransfer aset melalui beberapa transaksi kecil. Serangan berlangsung selama beberapa tahun hingga pertukaran tersebut menyatakan kebangkrutan pada tahun 2014. Langkah-langkah keamanan yang tidak memadai, kurangnya penyimpanan cold wallet, dan teknologi multi-tanda tangan meninggalkan aset terpapar risiko untuk jangka waktu yang diperpanjang.

Aset yang Dicuri dan Aliran Dana

Sekitar 850.000 bitcoin dicuri, senilai sekitar $450 juta pada saat itu. Aliran dana tidak jelas, dan beberapa bitcoin yang dicuri telah dilacak ke beberapa alamat dompet, tetapi sebagian besar aset belum pulih hingga hari ini.

Tanggapan resmi dan hasil pemrosesan tindak lanjut

Mt. Gox mengumumkan kebangkrutan dan menghentikan operasinya. Pengadilan Jepang memulai proses rehabilitasi sipil, membekukan aset pengguna. Sebagian pengguna telah mendapatkan kembali sebagian kerugian melalui cara hukum, tetapi sebagian besar aset tetap belum pulih. Insiden ini telah menimbulkan kekhawatiran luas di industri tentang keamanan pertukaran.

2. Insiden Bitfinex (2016)

Detail Serangan dan Analisis Taktik Hacker

Pada Agustus 2016, Bitfinex diretas, dan para peretas memanfaatkan kerentanan dalam dompet multi-tanda tangan pertukaran. Para peretas menggunakan rekayasa sosial untuk mendapatkan kunci personel internal pertukaran, dan kemudian mentransfer aset dengan memalsukan tanda tangan transaksi. Serangan tersebut mengakibatkan sekitar 119.756 bitcoin dicuri, dengan nilai sekitar $72 juta pada saat itu.

Aset yang Dicuri dan Aliran Dana

Aset telah ditransfer ke beberapa alamat dompet Bitcoin, dengan sebagian dana dilacak ke pasar web gelap. Bitfinex telah melacak beberapa aset yang dicuri melalui analisis blockchain dan kerja sama, tetapi sebagian besar dana belum pulih.

Tanggapan resmi dan hasil penanganan tindak lanjut

Bitfinex mengumumkan pembekuan semua aset pengguna dan memulai snapshot aset pengguna. Bursa tersebut bekerja sama dengan perusahaan analisis blockchain untuk melacak aset yang dicuri. Bitfinex mengganti kerugian pengguna dengan menerbitkan token (BFX) dan secara bertahap membelinya kembali. Insiden tersebut mendorong bursa untuk meningkatkan langkah-langkah keamanan, termasuk pengenalan dompet dingin dan teknologi multi-tanda tangan.

3. Insiden Coincheck (2018)

Detail serangan dan analisis taktik hacker

Pada Januari 2018, bursa Jepang Coincheck diretas, dan para peretas memanfaatkan kerentanan di dompet panas pertukaran. Para peretas menggunakan serangan injeksi SQL untuk mendapatkan kunci internal dan langsung mengakses dompet panas pertukaran. Serangan tersebut mengakibatkan sekitar 523 juta koin NEM dicuri, dengan nilai sekitar 530 juta dolar pada saat itu.

Aset yang dicuri dan aliran dana

Aset telah ditransfer ke alamat dompet yang tidak diketahui, dan sejumlah dana telah dilacak ke beberapa pertukaran. Karena transparansi transaksi koin NEM, sebagian aset yang dicuri telah dibekukan, namun sebagian besar dana belum pulih.

Tanggapan resmi dan hasil pemrosesan tindak lanjut

Coincheck mengumumkan pembekuan semua aset pengguna dan bekerja sama dengan polisi untuk melacak aset yang dicuri. Bursa tersebut mengganti rugi pengguna sekitar 46,3 miliar yen (sekitar 420 juta dolar AS). Coincheck diwajibkan oleh Otoritas Jasa Keuangan Jepang untuk meningkatkan langkah-langkah keamanan dan akhirnya diakuisisi oleh Monex Group. Insiden ini memicu regulasi ketat terhadap pertukaran aset kripto di Jepang.

4. Kejadian Binance (2019)

Detail serangan dan analisis taktik peretas

Pada bulan Mei 2019, Binance dihack, dan peretas memanfaatkan kerentanan kunci API pertukaran. Peretas memperoleh beberapa kunci API pengguna melalui serangan phishing dan menggunakan skrip otomatis untuk mentransfer aset. Serangan tersebut mengakibatkan sekitar 7000 bitcoin dicuri, senilai sekitar $40 juta pada saat itu.

Aset yang Dicuri dan Arus Dana

Aset telah ditransfer ke beberapa alamat dompet Bitcoin, dan sebagian dana telah dilacak ke pertukaran lain. Binance telah melacak sebagian aset yang dicuri melalui analisis blockchain dan kerjasama, dan telah membekukan alamat terkait.

Tanggapan resmi dan hasil pemrosesan tindak lanjut

Binance mengumumkan pembekuan semua aset pengguna dan menginisiasi snapshot aset pengguna. Pertukaran tersebut mengganti kerugian pengguna dengan dana sendiri dan tidak membiarkan pengguna menanggung kerugian apapun. Binance telah memperkuat langkah-langkah keamanan, termasuk pengenalan dompet dingin dan teknologi multi-tanda tangan, dan bekerja sama dengan lembaga penegak hukum global untuk melacak para peretas. Setelah insiden tersebut, Binance mendirikan 'Dana Aman untuk Aset Pengguna' (SAFU) untuk mengatasi potensi peristiwa keamanan di masa depan.

5. Insiden KuCoin (2020)

Detail serangan dan analisis taktik peretas

Pada September 2020, KuCoin diretas, dan para peretas memanfaatkan kerentanan pada kunci hot wallet pertukaran. Para peretas menggunakan taktik rekayasa sosial untuk mendapatkan kunci dari personel internal di pertukaran dan mendapatkan akses langsung ke hot wallet. Serangan tersebut mengakibatkan sekitar $150 juta aset kripto dicuri, termasuk Bitcoin, Ethereum, dan token ERC-20.

Aset yang Dicuri dan Aliran Dana

Aset telah ditransfer ke beberapa alamat dompet, dan sebagian dana telah dilacak ke pertukaran lain. KuCoin telah melacak sebagian aset yang dicuri melalui analisis blockchain dan kerjasama, dan membekukan alamat terkait.

Tanggapan resmi dan hasil pemrosesan tindak lanjut

KuCoin mengumumkan pembekuan semua aset pengguna dan memulai snapshot aset pengguna. Bursa tersebut mengganti rugi pengguna atas kerugian melalui dana internal dan dana asuransi, tanpa membuat pengguna menanggung kerugian. KuCoin telah memperkuat langkah-langkah keamanan, termasuk pengenalan dompet dingin dan teknologi multi-tanda tangan, dan telah bekerja sama dengan lembaga penegak hukum global untuk melacak para peretas. Menyusul insiden tersebut, KuCoin mendirikan 'Dana Perlindungan Pengguna' untuk mengatasi kemungkinan insiden keamanan di masa depan.

6. Kejadian Pencurian Bybit (2025)

Pada 21 Februari 2025, pertukaran aset kripto Bybit mengalami insiden keamanan serius, yang mengakibatkan pencurian aset dari dompet dingin multi-tanda tangan Ethereum (ETH) miliknya. Kerugian langsung dari insiden ini melebihi $1,5 miliar, karena peretas menggunakan metode serangan canggih untuk merusak logika kontrak pintar dari dompet dingin dan mencuri sejumlah besar aset kripto.

Detail serangan dan analisis taktik hacker

Berdasarkan analisis insiden, peretas berhasil mengakses sistem dompet dingin multi-tanda tangan Bybit melalui cara yang canggih. Dengan memanfaatkan kerentanan dalam UI front-end, para penyerang berhasil menipu para penandatangan dompet multi-tanda tangan untuk menandatangani konten berbahaya dalam antarmuka palsu, sehingga mengambil alih dompet dingin. Secara khusus, dengan merusak logika kontrak pintar, para penyerang membuat para penandatangan melihat alamat transaksi yang benar, tetapi konten yang sebenarnya ditandatangani mentransfer dana ke alamat yang dikendalikan oleh para peretas.

Aset yang dicuri dan aliran dana

Menurut analisis data on-chain, aset yang dicuri termasuk:

• 401,347 ETH, sekitar 11,2 miliar dolar AS;
• 90,376 stETH, sekitar 2,53 miliar dolar AS;
• 15.000 cmETH, sekitar $44,13 juta;
• 8.000 mETH, sekitar 23 juta dolar AS.

Harga di atas dihitung berdasarkan harga pada saat pencurian pada malam tanggal 21 Februari. Dana tersebut ditransfer ke beberapa alamat oleh peretas, dan stETH dan mETH ditukar dengan ETH melalui pertukaran terdesentralisasi (DEX) untuk pencucian dana lebih lanjut. Untuk menghindari pelacakan, peretas menyebarkan ETH ke 49 alamat pada hari yang sama, dengan setiap alamat mentransfer sekitar 10.000 ETH.

Tanggapan Resmi Bybit dan Reaksi Industri

Setelah insiden tersebut, co-founder dan CEO Bybit Ben Zhou mengonfirmasi serangan pada platform X dan menekankan bahwa dompet lain di platform tersebut tidak terpengaruh, dan layanan penarikan pengguna normal. Dia menyatakan bahwa meskipun dana yang dicuri tidak dapat dikembalikan, Bybit masih memiliki kemampuan untuk membayar dan dapat menahan kerugian ini. Analis On-chain ZachXBT dan yang lainnya mendesak pertukaran besar untuk memasukkan alamat hacker ke dalam daftar hitam untuk mencegah pergerakan lebih lanjut dari dana yang dicuri. Selain itu, perusahaan keamanan Beosin dengan cepat menambahkan alamat terkait ke perpustakaan tag KYT-nya dan mengeluarkan peringatan.

7. Ringkasan

Acara-acara ini menunjukkan pentingnya keamanan untuk pertukaran aset kripto. Hacker sering mengeksploitasi kerentanan dalam dompet panas, manajemen kunci yang tidak tepat, atau bug kontrak pintar di pertukaran. Aliran aset yang dicuri seringkali sulit dilacak, tetapi melalui analisis blockchain dan kerjasama dengan agensi penegak hukum, sebagian dana dapat dibekukan atau dipulihkan. Pertukaran biasanya mengganti kerugian pengguna melalui dana asuransi atau dana mereka sendiri, dan memperkuat langkah-langkah keamanan untuk mencegah insiden di masa depan.

Menggunakan Gate.io sebagai contoh, Gate.io selalu memberikan perhatian besar terhadap keamanan dana pengguna dan telah mengambil serangkaian langkah inovatif untuk menjamin keamanan aset platform. Pada Januari 2025, Gate.io merilis data cadangan terbaru, dengan total cadangan hingga 10.328 miliar dolar AS, dan rasio cadangan sebesar 128,58%, jauh melebihi standar industri sebesar 100%. Di antaranya, Gate.io memiliki lebih dari 20.000 BTC dan 257.000 ETH, dengan rasio cadangan masing-masing sebesar 123,06% dan 112,04%. Selain itu, Gate.io juga memperkenalkan teknologi bukti tanpa pengetahuan (zk-SNARK), yang lebih meningkatkan transparansi platform dan kemampuan perlindungan privasi, memungkinkan pengguna untuk memverifikasi kecukupan aset platform tanpa mengungkapkan rincian transaksi apa pun.

Insiden pencurian Bybit sekali lagi mengingatkan industri aset kripto bahwa pertukaran menghadapi ancaman keamanan yang semakin kompleks. Dengan perkembangan industri, pertukaran harus terus berinovasi dalam teknologi keamanan dan memperkuat perlindungan aset pengguna. Selain perlindungan dompet dingin dasar, audit kontrak pintar, dan mekanisme multi-tanda tangan, pertukaran juga harus memperkenalkan teknologi yang lebih canggih seperti kecerdasan buatan dan analisis blockchain untuk meningkatkan kemampuan keamanan. Inovasi teknologi keamanan dalam industri aset kripto akan menjadi faktor kunci dalam menentukan daya saing jangka panjang pertukaran.

Acara ini juga mencerminkan kesatuan dan kerjasama industri kripto dalam menghadapi tantangan. Bursa seperti Gate.io juga segera menghubungi Bybit setelah menerima berita tersebut dan memberikan dukungan teknis atau keuangan. Secara tidak langsung, insiden keamanan ini juga mencerminkan solidaritas dan kerjasama industri dalam menghadapi tantangan, menciptakan lingkungan kompetitif yang baik dalam kesulitan.