Menanggapi serangan bertahun-tahun oleh peretas Korea Utara terhadap industri kripto, Chainalysis dalam laporan serangan peretasan 2025 secara khusus menganalisis tindakan peretas Korea Utara. Berikut detail isinya.
Poin Penting:
· Peretas Korea Utara mencuri cryptocurrency senilai $20,2 miliar pada tahun 2025, meningkat 51% dibandingkan tahun sebelumnya, meskipun jumlah serangan menurun, total nilai curian kumulatif mereka telah mencapai $67,5 miliar.
· Peretas Korea Utara mencuri lebih banyak cryptocurrency dengan lebih sedikit serangan, sering kali dengan menempatkan staf IT di dalam layanan kripto atau menggunakan strategi peniruan yang kompleks yang menargetkan eksekutif.
· Peretas Korea Utara jelas lebih menyukai layanan pencucian uang berbahasa Tiongkok, layanan jembatan silang (cross-chain bridge), dan protokol pencampuran (mixing), dengan siklus pencucian uang sekitar 45 hari setelah peristiwa pencurian besar terjadi.
· Pada tahun 2025, insiden pencurian dompet pribadi melonjak menjadi 158.000 kasus, dengan 80.000 pengguna menjadi korban, meskipun total nilai yang dicuri ($713 juta) menurun dibandingkan tahun 2024.
· Meskipun Total Value Locked (TVL) DeFi meningkat, kerugian akibat serangan peretasan dari 2024 hingga 2025 tetap berada pada level rendah, menunjukkan bahwa peningkatan langkah-langkah keamanan memberikan efek yang signifikan.
Tahun 2025, ekosistem kripto sekali lagi menghadapi tantangan serius, dengan dana curian yang terus meningkat. Analisis menunjukkan bahwa pola pencurian kripto memiliki empat karakteristik kunci: peretas Korea Utara tetap menjadi sumber ancaman utama; serangan individu terhadap layanan terpusat semakin parah; insiden pencurian dompet pribadi melonjak; tren peretasan DeFi menunjukkan perbedaan yang tidak terduga.
Gambaran Umum: Dana Dicuri Melebihi $3,4 Miliar pada 2025
Dari Januari hingga awal Desember 2025, industri kripto kehilangan dana lebih dari $3,4 miliar akibat pencurian, dengan serangan terhadap Bybit pada bulan Februari saja menyumbang $1,5 miliar.
Data juga mengungkapkan perubahan penting dalam peristiwa pencurian ini. Insiden pencurian dompet pribadi meningkat secara signifikan, dari 7,3% dari total nilai curian pada tahun 2022 menjadi 44% pada tahun 2024. Jika bukan karena dampak besar insiden serangan Bybit, persentase ini pada tahun 2025 mungkin akan mencapai 37%.
Sementara itu, layanan terpusat (centralized services) mengalami kerugian yang semakin besar karena serangan kompleks terhadap infrastruktur private key dan proses penandatanganan. Meskipun platform ini memiliki sumber daya kelembagaan dan tim keamanan profesional, mereka tetap rentan terhadap ancaman yang dapat melewati kontrol dompet dingin (cold wallet). Meskipun intrusi semacam ini tidak sering terjadi (seperti yang ditunjukkan pada gambar di bawah), begitu terjadi, mereka menyebabkan dana curian yang sangat besar, menyumbang 88% dari total kerugian pada kuartal pertama tahun 2025. Banyak penyerang telah mengembangkan metode yang memanfaatkan integrasi dompet pihak ketiga dan membujuk penandatangan untuk mengotorisasi transaksi berbahaya.
Meskipun keamanan kripto mungkin telah meningkat di beberapa area, tingginya jumlah dana yang dicuri menunjukkan bahwa penyerang masih dapat berhasil melalui berbagai cara.
Kerugian dari Tiga Serangan Peretasan Terbesar Menyumbang 69% dari Total Kerugian, Nilai Ekstrem Mencapai 1000 Kali Median
Peristiwa dana dicuri secara historis didorong oleh peristiwa ekstrem, di mana sebagian besar serangan peretasan relatif kecil, tetapi beberapa berukuran sangat besar. Namun, situasi pada tahun 2025 memburuk: rasio antara serangan peretasan terbesar dan median dari semua peristiwa untuk pertama kalinya melampaui ambang batas 1000 kali. Kini, dana yang dicuri dalam serangan terbesar adalah 1000 kali lipat dari dana yang dicuri dalam peristiwa biasa, bahkan melampaui puncak pasar bull (bull market) tahun 2021. Perhitungan ini didasarkan pada nilai dolar dana yang dicuri pada saat pencurian.
Kesenjangan yang semakin melebar ini membuat kerugian sangat terkonsentrasi. Tiga serangan peretasan terbesar tahun 2025 menyumbang 69% dari semua kerugian, dengan dampak peristiwa individual terhadap total kerugian tahunan yang sangat signifikan. Meskipun frekuensi serangan dapat berfluktuasi, dan kerugian median meningkat seiring dengan kenaikan harga aset, kerugian potensial dari kerentanan besar individual terus meningkat dengan kecepatan yang lebih cepat.
Meskipun Peristiwa Serangan yang Dikonfirmasi Menurun, Korea Utara Tetap Ancaman Utama
Meskipun frekuensi serangan menurun drastis, Korea Utara tetap menjadi negara yang merupakan ancaman paling serius bagi keamanan kripto, dengan dana cryptocurrency yang dicuri pada tahun 2025 mencapai rekor baru, setidaknya $20,2 miliar ($6,81 miliar lebih banyak daripada tahun 2024), meningkat 51% secara tahunan (year-on-year). Dalam hal nilai yang dicuri, ini adalah tahun terburuk yang tercatat untuk kasus pencurian cryptocurrency Korea Utara. Serangan yang diluncurkan Korea Utara menyumbang 76% dari semua insiden intrusi, memecahkan rekor tertinggi sepanjang masa. Secara keseluruhan, total kumulatif cryptocurrency yang dicuri Korea Utara, perkiraan minimumnya mencapai $67,5 miliar.
Peretas Korea Utara semakin banyak menempatkan personel IT (salah satu metode serangan utama) di dalam layanan kripto untuk mendapatkan akses istimewa dan melaksanakan serangan besar. Peristiwa serangan rekor tahun ini sebagian mungkin mencerminkan meningkatnya ketergantungan Korea Utara pada infiltrasi personel IT di bursa, penyedia kustodian, dan perusahaan Web3, yang dapat mempercepat akses awal dan pergerakan lateral, sehingga menciptakan kondisi untuk pencurian skala besar.
Namun, kelompok peretas yang terkait dengan Korea Utara baru-baru ini benar-benar membalikkan model pekerja IT ini. Alih-alih hanya melamar posisi dan menyusup sebagai karyawan, mereka semakin banyak menyamar sebagai perekrut dari perusahaan Web3 dan AI terkemuka, dengan hati-hati mengatur proses perekrutan palsu yang pada akhirnya berkedok "penyaringan teknis" untuk mendapatkan kredensial login korban, kode sumber, serta akses VPN atau Single Sign-On (SSO) dari perusahaan tempat mereka bekerja saat ini. Di tingkat eksekutif, taktik social engineering serupa muncul dalam bentuk kontak dari investor strategis palsu atau calon akuisitor, yang memanfaatkan pertemuan presentasi dan due diligence semu untuk menyelidiki informasi sistem sensitif dan infrastruktur bernilai tinggi potensial—evolusi ini langsung dibangun di atas tindakan penipuan pekerja IT Korea Utara dan berfokus pada perusahaan AI dan blockchain yang penting secara strategis.
Seperti yang terlihat dalam beberapa tahun terakhir, serangan dunia maya yang diluncurkan Korea Utara secara konsisten memiliki nilai yang jauh lebih tinggi daripada peretas lainnya. Seperti yang ditunjukkan pada gambar di bawah, dari tahun 2022 hingga 2025, serangan peretas Korea Utara mendominasi rentang nilai tertinggi, sementara serangan peretas non-Korea Utara didistribusikan secara lebih normal di semua skala pencurian. Pola ini lebih lanjut menunjukkan bahwa ketika peretas Korea Utara melancarkan serangan, mereka menargetkan layanan besar, berusaha menyebabkan dampak maksimal.
Kerugian rekor tahun ini berasal dari penurunan tajam dalam peristiwa yang diketahui. Pergeseran ini (lebih sedikit peristiwa tetapi peningkatan besar dalam kerugian) mencerminkan dampak dari insiden peretasan besar Bybit pada Februari 2025.
Pola Pencucian Uang Unik Korea Utara
Masuknya sejumlah besar dana curian pada awal tahun 2025 mengungkapkan bagaimana peretas Korea Utara mencucikan cryptocurrency dalam skala besar. Pola mereka sangat berbeda dari penjahat dunia maya lainnya dan telah berevolusi dari waktu ke waktu.
Aktivitas pencucian uang Korea Utara menunjukkan pola "pembagian" yang jelas, dengan lebih dari 60% volume transaksi terkonsentrasi di bawah $500.000. Sebaliknya, peretas lain membagi dana yang mereka pindahkan secara on-chain, dengan lebih dari 60% dilakukan dalam batch di kisaran $1 juta hingga lebih dari $10 juta. Meskipun Korea Utara mencucikan lebih banyak uang per transaksi daripada peretas lain, mereka membagi transfer on-chain menjadi batch yang lebih kecil, menyoroti kompleksitas metode pencucian uang mereka.
Dibandingkan dengan peretas lain, Korea Utara menunjukkan preferensi yang jelas untuk layanan pencucian uang tertentu:
Peretas Korea Utara cenderung:
· Layanan transfer dan penjamin dana berbahasa Tiongkok (+355% hingga lebih dari 1000%): Ini adalah karakteristik paling mencolok, dengan ketergantungan berat pada layanan penjamin Tiongkok serta jaringan pencucian uang yang terdiri dari banyak operator pencucian uang yang mungkin memiliki kontrol kepatuhan yang lebih lemah.
· Layanan jembatan silang (cross-chain bridge) (+97%): Sangat bergantung pada jembatan silang untuk mentransfer aset antar blockchain dan mencoba meningkatkan kesulitan pelacakan.
· Layanan pencampuran (mixing services) (+100%): Lebih banyak menggunakan layanan pencampuran untuk mencoba menyamarkan aliran dana.
· Layanan khusus seperti Huione (+356%): Penggunaan strategis layanan tertentu untuk membantu aktivitas pencucian uang mereka.
Peretas lain yang terlibat dalam pencucian uang cenderung:
· Protokol pinjam meminjam (lending protocols) (-80%): Korea Utara menghindari penggunaan layanan DeFi ini, menunjukkan integrasi terbatas mereka dengan ekosistem DeFi yang lebih luas.
· Bursa tanpa KYC (-75%): Secara mengejutkan, peretas lain lebih banyak menggunakan bursa tanpa KYC daripada Korea Utara.
· Platform perdagangan P2P (-64%): Minat Korea Utara terhadap platform P2P terbatas.
· CEX (-25%): Peretas lain memiliki interaksi langsung yang lebih banyak dengan bursa tradisional.
· DEX (-42%): Peretas lain lebih cenderung menggunakan DEX, karena likuiditas tinggi dan karakteristik anonimitasnya.
Pola-pola ini menunjukkan bahwa operasi Korea Utara dibatasi oleh kendala dan target yang berbeda dari penjahat dunia maya yang tidak didukung negara. Penggunaan besar-besaran mereka terhadap layanan pencucian uang khusus berbahasa Tiongkok dan pedagang over-the-counter (OTC) menunjukkan bahwa peretas Korea Utara terhubung erat dengan pelaku ilegal di kawasan Asia-Pasifik.
Timeline Pencucian Uang Hasil Curian Setelah Serangan Peretas Korea Utara
Analisis terhadap aktivitas on-chain setelah peristiwa peretasan yang diatribusikan kepada Korea Utara antara tahun 2022-2025 mengungkapkan pola yang konsisten antara peristiwa ini dan aliran dana curian dalam ekosistem kripto. Setelah peristiwa pencurian besar, dana curian mengikuti jalur pencucian uang yang terstruktur dan multi-tahap, proses ini berlangsung sekitar 45 hari:
Tahap 1: Pelapisan Segera (Hari 0-5)
Pada hari-hari awal setelah serangan peretasan terjadi, serangkaian aktivitas diamati sangat aktif, dengan fokus pada pemindahan segera dana dari sumber yang dicuri:
· Aliran dana curian dari protokol DeFi mengalami peningkatan terbesar (+370%), menjadi titik masuk utama.
· Volume transaksi layanan pencampuran (mixing services) juga meningkat signifikan (+135-150%), membentuk lapisan pengaburan pertama.
· Tahap ini mewakili tindakan "langkah pertama" yang mendesak, bertujuan untuk memisahkan diri dari tindakan pencurian awal.
Tahap 2: Konsolidasi Awal (Hari 6-10)
Memasuki minggu kedua, strategi pencucian uang beralih ke layanan yang dapat membantu integrasi dana ke dalam ekosistem yang lebih luas:
· Bursa dengan pembatasan KYC yang lebih longgar (+37%) dan CEX (+32%) mulai menerima aliran dana.
· Aktivitas pencucian uang layanan pencampuran lapisan kedua (+76%) berlanjut dengan intensitas lebih rendah.
· Jembatan silang (seperti XMRt, +141%) membantu menyebarkan dan menyamarkan aliran dana antar blockchain.
· Tahap ini adalah periode transisi kritis, di mana dana mulai mengalir ke saluran keluar potensial.
Tahap 3: Konsolidasi Ekor Panjang (Hari 20-45)
Tahap akhir menunjukkan preferensi yang jelas untuk layanan yang dapat mengonversi dana akhir menjadi mata uang fiat atau aset lain:
· Penggunaan bursa tanpa KYC (+82%) dan layanan penjamin (seperti Potato Escrow, +87%) meningkat signifikan.
· Bursa instan (+61%) dan platform Tiongkok (seperti Huiwang, +45%) menjadi titik konversi akhir.
· CEX (+50%) juga menerima dana, menunjukkan upaya canggih untuk mencampur dana dengan dana sah.
· Yurisdiksi dengan regulasi yang lebih longgar, seperti jaringan pencucian uang Tiongkok (+33%) dan platform seperti Grinex (+39%), melengkapi pola ini.
Jendela operasi pencucian uang yang biasanya 45 hari ini memberikan intelijen penting bagi tim penegak hukum dan kepatuhan. Pola yang bertahan selama bertahun-tahun ini menunjukkan bahwa peretas Korea Utara menghadapi keterbatasan operasional, yang mungkin terkait dengan akses terbatas mereka ke infrastruktur keuangan dan kebutuhan untuk berkoordinasi dengan perantara tertentu.
Meskipun peretas ini tidak selalu mengikuti timeline yang tepat ini—beberapa dana curian mengendap selama berbulan-bulan atau bertahun-tahun—pola ini mewakili perilaku on-chain khas mereka ketika aktif mencucikan uang. Selain itu, penting untuk menyadari titik buta yang mungkin ada dalam analisis ini, karena aktivitas tertentu (seperti transfer private key atau pertukaran cryptocurrency OTC ke fiat) tidak akan terlihat di on-chain tanpa intelijen pendukung.
Pencurian Dompet Pribadi: Ancaman yang Semakin Meningkat bagi Pengguna Individu
Melalui analisis pola on-chain, serta laporan dari korban dan mitra industri, dapat dipahami tingkat keparahan pencurian dompet pribadi, meskipun jumlah sebenarnya yang dicuri mungkin jauh lebih tinggi. Perkiraan minimum, kerugian nilai akibat pencurian dompet pribadi pada tahun 2025 menyumbang 20% dari total kerugian, turun dari 44% pada tahun 2024, yang mengindikasikan perubahan dalam skala dan pola. Jumlah total peristiwa pencurian pada tahun 2025 melonjak menjadi 158.000, hampir tiga kali lipat dari 54.000 yang tercatat pada tahun 2022. Jumlah korban meningkat dari 40.000 orang pada tahun 2022 menjadi setidaknya 80.000 orang pada tahun 2025. Peningkatan yang signifikan ini kemungkinan besar disebabkan oleh adopsi cryptocurrency yang lebih luas. Misalnya, Solana, salah satu blockchain dengan dompet pribadi aktif terbanyak, jumlah peristiwa pencuriannya jauh lebih tinggi (sekitar 26.500 korban).
Namun, meskipun jumlah peristiwa dan korban meningkat, total jumlah dolar yang dicuri dari setiap korban individu pada tahun 2025 turun dari puncak $1,5 miliar pada tahun 2024 menjadi $713 juta. Ini menunjukkan bahwa penyerang menargetkan lebih banyak pengguna, tetapi jumlah yang dicuri per korban berkurang.
Data korban jaringan tertentu memberikan wawasan lebih lanjut tentang area mana yang merupakan ancaman terbesar bagi pengguna kripto. Gambar di bawah menunjukkan data korban yang disesuaikan dengan dompet pribadi aktif di setiap jaringan. Diukur dengan tingkat kejahatan per 100.000 dompet pada tahun 2025, Ethereum dan Tron memiliki tingkat pencurian tertinggi. Skala pengguna Ethereum yang besar menunjukkan tingkat pencurian dan jumlah korban yang tinggi, sementara peringkat Tron menunjukkan bahwa meskipun jumlah dompet aktifnya lebih sedikit, tingkat pencuriannya masih tinggi. Sebaliknya, meskipun Basis pengguna Base dan Solana besar, tingkat korbannya relatif rendah.
Ini menunjukkan bahwa risiko keamanan dompet pribadi dalam ekosistem kripto tidak merata. Bahkan dengan arsitektur teknologi yang serupa, tingkat korban berbeda antar blockchain, yang menunjukkan bahwa selain faktor teknis, karakteristik basis pengguna, aplikasi populer, dan infrastruktur kriminal juga memainkan peran penting dalam menentukan tingkat pencurian.
Peretasan DeFi: Pola Diferensiasi Menandakan Perubahan Pasar
Bidang DeFi menampilkan pola unik dalam data kriminal tahun 2025, menyimpang jelas dari tren historis.
Data menunjukkan tiga tahap yang berbeda:
· Tahap 1 (2020-2021): TVL DeFi dan kerugian akibat peretasan tumbuh bersamaan.
· Tahap 2 (2022-2023): Kedua indikator menurun bersamaan.
· Tahap 3 (2024-2025): TVL pulih, sementara kerugian akibat peretasan tetap stabil.
Dua tahap pertama mengikuti pola yang intuitif: nilai risiko yang dihadapi lebih besar, berarti ada lebih banyak nilai yang dapat dicuri, dan peretas menargetkan protokol bernilai tinggi dengan lebih agresif. Seperti kata perampok bank Willie Sutton: "Karena di sanalah uangnya."
Hal ini membuat perbedaan pada Tahap 3 semakin signifikan. TVL DeFi telah pulih secara signifikan dari titik terendah tahun 2023, tetapi kerugian akibat peretasan tidak mengikutinya. Meskipun miliaran dolar telah mengalir kembali ke protokol-protokol ini, insiden peretasan DeFi terus berada pada level rendah, yang merupakan perubahan yang signifikan.
Dua faktor berikut mungkin menjelaskan perbedaan ini:
· Peningkatan keamanan: Meskipun TVL terus tumbuh, tingkat peretasan terus menurun, menunjukkan bahwa protokol DeFi mungkin menerapkan langkah-langkah keamanan yang lebih efektif daripada periode 2020-2021.
· Pergeseran target: Peningkatan simultan dalam pencurian dompet pribadi dan serangan terhadap layanan terpusat menunjukkan bahwa perhatian penyerang mungkin beralih ke target lain.
Studi Kasus: Respons Keamanan Venus Protocol
Insiden Protokol Venus yang terjadi pada September 2025 menunjukkan bahwa langkah-langkah keamanan yang ditingkatkan memberikan efek nyata. Saat itu, penyerang memanfaatkan klien Zoom yang disusupi untuk mendapatkan akses sistem dan membujuk seorang pengguna untuk memberikan izin delegasi untuk akun senilai $13 juta, suatu situasi yang berpotensi menimbulkan konsekuensi bencana. Namun, Venus kebetulan telah mengaktifkan platform pemantauan keamanan Hexagate sebulan sebelumnya.
Platform ini mendeteksi aktivitas mencurigakan 18 jam sebelum serangan terjadi, dan mengeluarkan peringatan lain segera setelah transaksi jahat terjadi. Dalam 20 menit, Venus menangguhkan protokolnya, mencegah aliran dana apa pun. Respons yang terkoordinasi ini menunjukkan evolusi keamanan DeFi:
· Dalam 5 jam: Pemulihan sebagian fungsi setelah pemeriksaan keamanan selesai.
· Dalam 7 jam: Likuidasi paksa dompet penyerang.
· Dalam 12 jam: Pemulihan semua dana curian dan pemulihan layanan.
Yang paling patut dicatat, Venus mengesahkan proposal governance yang membekukan aset senilai $3 juta yang masih dikendalikan penyerang; penyerang tidak hanya gagal mendapat untung, tetapi justru kehilangan uang.
Peristiwa ini menunjukkan peningkatan infrastruktur keamanan DeFi yang nyata. Kombinasi pemantauan proaktif, kemampuan respons cepat, dan mekanisme governance yang dapat mengambil tindakan tegas membuat seluruh ekosistem lebih lincah dan tangguh. Meskipun serangan masih terjadi, kemampuan untuk mendeteksi, merespons, dan bahkan membalikkan serangan merupakan perubahan fundamental dibandingkan dengan era DeFi awal di mana serangan yang berhasil sering berarti kerugian permanen.
Implikasi untuk 2026 dan Seterusnya
Data tahun 2025 memberikan gambaran tentang evolusi kompleks Korea Utara sebagai ancaman terbesar bagi industri kripto. Negara tersebut meluncurkan lebih sedikit serangan, tetapi dengan dampak yang jauh lebih merusak, menunjukkan metode yang semakin canggih dan lebih sabar. Dampak insiden Bybit terhadap pola aktivitas tahunan mereka menunjukkan bahwa ketika Korea Utara berhasil melakukan pencurian besar, mereka mengurangi irama operasi dan beralih fokus ke pencucian uang.
Bagi industri kripto, evolusi ini menuntut kewaspadaan yang lebih besar terhadap target bernilai tinggi dan peningkatan kemampuan untuk mengidentifikasi pola pencucian uang spesifik Korea Utara. Preferensi berkelanjutan mereka terhadap jenis layanan tertentu dan jumlah transfer memberikan peluang deteksi, membedakan mereka dari penjahat lain, dan membantu penyelidik mengidentifikasi ciri khas perilaku on-chain mereka.
Seiring Korea Utara terus memanfaatkan pencurian cryptocurrency untuk mendanai prioritas nasional dan menghindari sanksi internasional, industri kripto harus menyadari bahwa Korea Utara beroperasi dengan aturan yang sangat berbeda dari penjahat dunia maya tipikal. Kinerja rekor Korea Utara pada tahun 2025 (dengan penurunan 74% dalam serangan yang diketahui), menunjukkan bahwa saat ini mungkin hanya melihat bagian paling terlihat dari aktivitas mereka. Tantangan tahun 2026 adalah bagaimana mendeteksi dan menghentikan tindakan ini sebelum Korea Utara meluncurkan serangan lain dengan skala seperti Bybit.
