Pada 23 Desember, perusahaan keamanan Web3 terbesar di dunia, CertiK, merilis "Laporan Keamanan Web3 Hack3D Skynet 2025", yang secara sistematis menyusun peristiwa keamanan utama dan tren risiko di bidang Web3 selama setahun terakhir. Laporan tersebut menunjukkan bahwa industri Web3 berkembang pesat dalam lingkungan pasar yang membaik dan ekspektasi regulasi yang lebih jelas, tetapi risiko keamanan tidak mereda dan masih menghadapi tantangan keamanan sistemik.
Laporan menunjukkan bahwa pada tahun 2025, bidang Web3 mengalami total 630 peristiwa keamanan, menyebabkan total kerugian sekitar $3,35 miliar, meningkat 37% secara tahunan (yoy) dibandingkan tahun 2024; meskipun jumlah peristiwa berkurang 137 dibandingkan tahun sebelumnya, rata-rata kerugian per serangan mencapai $5,322 juta, melonjak 66,6%, menyoroti tren penyerang yang fokus pada target bernilai tinggi.
Serangan Rantai Pasok Mendorong Peningkatan Kerugian Tahunan
Dilihat dari jenis serangan, serangan rantai pasok menjadi sumber risiko yang menyebabkan kerugian terbesar pada tahun 2025. Meskipun hanya dua peristiwa terkait yang tercatat sepanjang tahun, kerugian kumulatifnya mencapai $1,45 miliar, hampir setengah dari total kerugian tahunan. Peristiwa Bybit yang terjadi pada bulan Februari menyumbang sebagian besar kerugian.
Menurut laporan yang diungkapkan, peristiwa keamanan yang dialami Bybit pada Februari 2025 menyebabkan kerugian sekitar $1,4 miliar, dianggap sebagai salah satu peristiwa pencurian aset kripto terbesar sejauh ini. Penyerang tidak langsung menembus sistem pertukaran, tetapi dengan menyusup ke lingkungan pengembang penyedia layanan dompet multi-tanda tangan pihak ketiga, menyisipkan kode berbahaya dalam proses penandatanganan, sehingga melewati mekanisme persetujuan berganda.
CertiK mencatat dalam laporan bahwa peristiwa serupa mencerminkan bahwa penyerang sedang memusatkan sumber daya pada penyedia layanan kunci dan alat-alat dasar, bukan pada protokol tunggal itu sendiri, keamanan rantai pasok telah menjadi risiko sistemik yang tidak dapat diabaikan.
Serangan Phishing Sering Terjadi, AI Menjadi "Penguat"
Dalam hal frekuensi serangan, phishing masih menjadi ancaman keamanan paling umum pada tahun 2025. Laporan menunjukkan bahwa sepanjang tahun tercatat 248 peristiwa serangan phishing, menyebabkan kerugian sekitar $723 juta, jumlah kejadiannya sedikit lebih tinggi daripada serangan kerentanan kode (240 peristiwa).
Perlu dicatat bahwa CertiK berpendapat angka ini masih mungkin diremehkan. Sejumlah besar peristiwa phishing dan penipuan yang ditujukan untuk pengguna individu tidak diungkapkan secara resmi, terutama serangan rekayasa sosial dengan jumlah kerugian kecil atau yang terjadi di luar rantai (off-chain).
Laporan menekankan bahwa popularitas kecerdasan buatan (AI) secara signifikan menurunkan ambang batas teknis serangan phishing. Penyerang mulai menggunakan AI untuk menghasilkan situs web phishing yang sangat realistis, pop-up dompet, dan informasi penipuan multibahasa, dikombinasikan dengan data on-chain dan konten media sosial untuk "penargetan yang presisi". Cara pertahanan tradisional yang mengandalkan kesalahan tata bahasa atau karakteristik template untuk identifikasi, secara bertahap menjadi tidak efektif.
Regulasi Semakin Jelas, Keamanan Berubah dari "Item Biaya" menjadi "Infrastruktur"
Di tengah peningkatan risiko, laporan juga mencatat bahwa lingkungan regulasi global sedang mengalami perubahan positif. Kemajuan legislasi AS terkait stabilitas dan transparansi aset digital, memberikan sinyal kebijakan yang lebih jelas untuk industri; kerangka MiCA Uni Eropa, sandbox regulasi Singapura dan Hong Kong China, juga mendorong Web3 menuju tahap perkembangan yang lebih terstandarisasi.
CertiK mencatat dalam laporan bahwa dengan masuknya dana institusional dan yang mematuhi aturan secara berkelanjutan, kemampuan keamanan berubah dari "perbaikan setelah kejadian" menjadi elemen infrastruktur dalam desain dan operasi proyek. Baik untuk pihak proyek maupun pengguna individu, keamanan bukan lagi opsi, tetapi variabel kunci yang mempengaruhi kelangsungan hidup jangka panjang.
Laporan akhirnya menyatakan bahwa pada tahun depan, serangan peniruan yang digerakkan oleh AI, invasi rantai pasok yang semakin kompleks, serta serangan rekayasa sosial yang menargetkan pengguna individu akan terus berkembang. Dalam konteks ini, proyek-proyek yang menyematkan keamanan ke dalam desain arsitektur, proses pengembangan, dan pengalaman pengguna, yang mungkin dapat unggul dalam kompetisi Web3 baru.
Laporan lengkap: https://indd.adobe.com/view/6935ac85-c644-4048-9e27-1d310549aa0a
