Peretasan Web3 Menyentuh $4B di 2025: Apa yang Harus Dipelajari oleh NFT, DeFi, dan Crypto | Berita NFT Hari Ini

Peretasan Web3 di tahun 2025 mencapai tonggak yang tidak nyaman. Hampir $4 miliar telah hilang di seluruh dunia kripto, NFT, dan DeFi akibat kegagalan keamanan, penipuan, dan kesalahan manusia biasa. Angka ini berasal dari Laporan Keamanan Tahunan 2025 yang diterbitkan oleh Hacken, dan menggambarkan gambaran yang tidak bisa diabaikan industri.

Ini bukan tahun yang didefinisikan oleh bug aneh yang tersembunyi dalam kode eksperimental. Sebagian besar kerusakan berasal dari kontrol akses yang lemah, kredensial yang dicuri, dan rekayasa sosial. Dengan kata lain, masalah yang sama yang telah diperingatkan tim keamanan selama bertahun-tahun—sekarang terjadi dalam skala yang jauh lebih besar.

Jika Anda memegang NFT, berdagang di bursa terpusat, atau membangun di Web3, pelajaran dari 2025 lebih penting dari sebelumnya.

A $4 Miliar Pemeriksaan Realitas untuk Web3

Laporan Hacken menempatkan total kerugian untuk tahun 2025 di angka $4 miliar. Angka tersebut mencakup pelanggaran bursa, penipuan phishing, dompet yang dikompromikan, rug pull, dan eksploitasi protokol.

Perusahaan lain, termasuk CertiK dan Chainalysis, memperkirakan total yang lebih rendah—antara $2,5B dan $3,2B—tergantung pada model atribusi mereka. Namun, semua sumber utama sepakat bahwa tahun 2025 menyaksikan lonjakan baik dalam skala maupun tingkat kecanggihan serangan.

Yang menonjol bukan hanya besarnya kerugian. Tapi dari mana mereka berasal.

Siklus kripto sebelumnya didominasi oleh kesalahan kontrak pintar. Pada tahun 2025, keseimbangan bergeser. Kegagalan operasional dan serangan sosial menyebabkan kerusakan lebih besar daripada kode yang rusak. Saat lebih banyak modal mengalir ke Web3, penyerang mengikuti uang—dan fokus pada jalur termudah.

Bagi pengguna NFT, pergeseran ini mengubah profil risiko secara total. Kontrak yang sempurna tidak membantu jika persetujuan dompet atau permintaan penandatanganan disalahgunakan.

Bagaimana Tahun Terjadi

Q1 Mengubah Segalanya

Tahun dimulai dengan buruk. Pada akhir kuartal pertama, lebih dari $2 miliar sudah hilang. Itu menjadikan Q1 kuartal terburuk untuk keamanan Web3 dalam catatan.

Penggerak terbesar adalah pelanggaran Bybit. Penyerang tidak mengeksploitasi kontrak pintar. Mereka mengompromikan rantai pasokan dan mengganggu infrastruktur front-end. Ini adalah pengingat bahwa keamanan blockchain tidak berhenti di rantai itu sendiri.

Setelah insiden itu, asumsi keamanan berubah dengan cepat.

Kecepatan Melambat, Tapi Ancaman Tidak

Kerugian menurun sepanjang sisa tahun. Pada Q4, total kerusakan untuk kuartal itu sekitar $350 juta. Penurunan ini mencerminkan kesadaran yang lebih baik dan waktu respons yang lebih cepat.

Namun, kerusakan awal tidak bisa dihapuskan. Penyerang menyesuaikan strategi mereka daripada mundur. Lebih sedikit serangan. Dampak yang lebih besar.

Di Mana Uang Hilang

Kontrol Akses Adalah Kegagalan Terbesar

Lebih dari setengah dari semua kerugian tahun 2025 berasal dari masalah kontrol akses. Kunci pribadi yang dikompromikan. Dompet multisig yang salah konfigurasi. Kredensial internal yang disalahgunakan atau bocor.

Tidak satu pun dari ini membutuhkan eksploit canggih. Dalam kebanyakan kasus, penyerang hanya mendapatkan akses yang seharusnya tidak mereka miliki.

Data Hacken menunjukkan $2,12 miliar—atau 53% dari semua kerugian—berasal dari kegagalan kontrol akses, menjadikannya penyebab utama pencurian kripto di tahun 2025.

Satu wawasan penting: dompet multisig terbukti rentan ketika penandatangan menggunakan perangkat sehari-hari. Eksploit UXLINK melihat penandatangan yang dikompromikan mencetak triliunan token, menguras aset, dan menjualnya di pasar.

Itu tidak nyaman untuk diakui, tetapi juga berguna. Ini adalah masalah yang dapat diperbaiki tim dengan proses yang lebih baik.

Phishing Menjadi Lebih Sulit Dilihat

Phishing dan rekayasa sosial menyumbang hampir $1 miliar kerugian. Keracunan dompet, pesan dukungan palsu, dan penipuan impersonation terus berkembang.

AI membuat serangan ini lebih meyakinkan. Wawancara kerja palsu. Panggilan video deepfake. Pesan yang tampak persis seperti yang akan dikirim proyek nyata.

Seorang pengguna kehilangan $50 juta dalam satu transaksi karena keracunan alamat—salah mengira dompet penipu sebagai yang dikenal. Yang lain kehilangan $330 juta dalam Bitcoin setelah serangan rekayasa sosial jangka panjang.

Pedagang NFT sering menjadi target, terutama mereka yang aktif di komunitas Discord dan Telegram.

Eksploitasi Kontrak Pintar Tidak Menghilang

Bug kontrak masih menyebabkan kerusakan, total sekitar $512 juta kerugian. Protokol DeFi menanggung sebagian besar kerusakan itu, dengan proyek berbasis Ethereum melihat konsentrasi tertinggi.

Eksploitasi terkenal termasuk: Balancer v2 ($128M melalui kesalahan pembulatan), GMX v1 ($42M melalui bug reentrancy), dan Yearn yETH ($9M melalui pencetakan tak terbatas).

Audit membantu mengurangi frekuensi, tetapi kasus pinggiran dan integrasi terus menciptakan risiko. Keamanan kode meningkat. Tapi itu sendiri tidak cukup.

Bursa vs DeFi: Titik Lemah Berbeda

Platform Terpusat Mengalami Kerusakan Terbesar

Bursa terpusat menyumbang lebih dari setengah dari semua kerugian. Kasus paling terlihat melibatkan Bybit, di mana penyerang mengeksploitasi akses front-end daripada logika blockchain.

Kepemilikan mengkonsentrasikan risiko. Alat internal, vendor pihak ketiga, dan akses karyawan semuanya memperluas permukaan serangan. Ketika sesuatu salah, angka-angka meningkat dengan cepat.

Infrastruktur DeFi dan NFT Tetap Terbuka

Eksploitasi DeFi melampaui $500 juta dalam puluhan insiden. Pengurasan likuiditas, kegagalan jembatan, dan kesalahan matematika muncul lagi dan lagi.

Ethereum adalah rantai yang paling banyak diserang, sebagian besar karena begitu banyak aktivitas berlangsung di sana. Platform NFT sering berbagi dompet, izin, atau layanan backend dengan protokol DeFi, yang memungkinkan risiko merembes.

Peran Korea Utara Meningkat Tajam

Salah satu pola paling jelas di tahun 2025 melibatkan penyerang terkait negara. Kelompok yang terkait dengan Korea Utara bertanggung jawab atas sekitar 52% dari total kerugian, mencuri lebih dari $2 miliar selama tahun tersebut.

Faktanya, 9 dari 10 serangan kontrol akses kembali ke kelompok DPRK, menggunakan taktik seperti profil perekrut palsu, repos GitHub berisi malware, dan wawancara deepfake.

Penyelidik mengaitkan sebagian besar aktivitas ini dengan aktor yang terkait dengan Lazarus Group dan cluster TraderTraitor. Pendekatan mereka berfokus pada phishing, impersonation, dan akses orang dalam daripada eksploitasi teknis.

Dibandingkan dengan 2024, nilai yang dicuri oleh kelompok ini melonjak lebih dari 50%. Skala dan koordinasi mereka menonjol.

Mengapa Pemegang NFT Merasakan Dampaknya

NFT tidak menghasilkan angka dolar terbesar, tetapi kolektor menjadi sasaran utama. Tautan pencetakan palsu. Persetujuan berbahaya. Akun Discord yang dikompromikan yang menyamar sebagai admin proyek.

Begitu dompet dikompromikan, NFT bergerak secara instan. Tidak ada rollback. Izin marketplace sering tetap aktif lama setelah pengguna melupakannya.

Untuk keamanan NFT, kebiasaan dompet sama pentingnya dengan perlindungan platform.

AI Mengubah Persamaan Keamanan

AI memainkan kedua sisi di tahun 2025.

Penyerang menggunakan otomatisasi, media deepfake, dan pesan adaptif untuk mempercepat penipuan lebih dari sebelumnya. Pembela merespons dengan pemantauan yang lebih baik, deteksi anomali, dan triase insiden yang lebih cepat.

Platform bug bounty seperti Immunefi membantu mengungkap masalah sejak dini, menunjukkan bahwa insentif tetap penting.

Kesenjangan antara serangan dan pertahanan tidak menutup. Ia bergeser.

Regulasi Mulai Menyesuaikan Diri

Ekspektasi keamanan semakin ketat di seluruh yurisdiksi utama.

Di AS, kerangka perizinan semakin mewajibkan pengujian penetrasi dan pengelolaan kunci yang diamankan perangkat keras. Di Eropa, MiCA menekankan segregasi kustodi dan audit independen.

Aturan ini tidak akan menghilangkan pelanggaran. Mereka memang meningkatkan standar dasar dan menyulitkan jalan pintas.

Apa yang Benar-Benar Membantu ke Depan

Untuk pengguna:
Dompet perangkat keras mengurangi paparan. Perangkat khusus bahkan lebih membantu. Buku alamat dan pratinjau transaksi mencegah kesalahan umum.

Untuk tim NFT dan Web3:
Satu audit tidak cukup. Tinjauan berlapis menangkap lebih banyak masalah. Pengaturan multisig dan MPC mengurangi titik kegagalan tunggal. Pemantauan harus berlanjut setelah peluncuran.

Untuk industri:
Standar yang jelas membangun kepercayaan. Kemampuan keamanan kini mempengaruhi adopsi dan aliran modal.

Tahun yang Mahal, tetapi Sinyal yang Jelas

$4 Miliar yang hilang akibat peretasan Web3 di tahun 2025 mencerminkan pertumbuhan di bawah tekanan. Penyerang menyempurnakan buku permainan mereka. Pembela belajar secara terbuka. Transparansi mengungkap kelemahan, tetapi juga memaksa perbaikan.

Keamanan telah menjadi kredibilitas. Untuk NFT, DeFi, dan kripto secara keseluruhan, fase berikutnya bergantung lebih sedikit pada kecepatan dan lebih banyak pada disiplin.

Pertanyaan yang Sering Diajukan

Berikut beberapa pertanyaan yang sering diajukan tentang topik ini:

1. Berapa banyak yang hilang akibat peretasan Web3 di tahun 2025?

Hacken melaporkan total kerugian sebesar $4,004 miliar. Perusahaan lain seperti CertiK dan Chainalysis memperkirakan antara $2,5B–$3,2B, tergantung metodologi.

2. Apa sumber terbesar kerugian kripto di tahun 2025?

Sebagian besar berasal dari kegagalan kontrol akses (53%), diikuti oleh phishing (24%) dan kerentanan kontrak pintar (13%).

3. Apakah Korea Utara benar-benar bertanggung jawab atas sebagian besar peretasan Web3?

Ya. Kelompok yang terkait dengan Korea Utara bertanggung jawab atas sekitar 52% dari kerugian tahun 2025, sering menggunakan taktik phishing dan rekayasa sosial.

4. Apakah audit kontrak pintar masih efektif?

Audit membantu mengurangi risiko tetapi tidak sempurna. Banyak eksploitasi tahun 2025 terjadi di protokol yang diaudit atau telah diuji coba, karena kasus pinggiran yang terlewatkan.

5. Bagaimana AI mempengaruhi keamanan Web3 di tahun 2025?

AI digunakan baik secara defensif (untuk pemantauan) maupun ofensif (deepfakes, otomatisasi penipuan), memperkenalkan risiko baru seperti serangan injeksi prompt.

6. Apa yang dapat dilakukan pengguna untuk melindungi aset mereka?

Gunakan dompet perangkat keras, hindari menandatangani transaksi yang tidak dikenal, verifikasi alamat, dan praktikkan kebersihan digital yang ketat, terutama di platform sosial.