2026 年 1 bulan, industri mata uang kripto mengalami kerugian lebih dari 4 miliar dolar AS akibat celah keamanan, mencatat rekor tertinggi dalam satu bulan. CertiK mencatat 40 kejadian, termasuk satu kasus phishing tunggal pada 16 Januari yang merugikan 2,84 miliar dolar AS (71%), di mana penyerang menyamar sebagai customer service Trezor untuk menipu kata sandi pemulihan, mencuri 1.459 BTC dan 2,05 juta LTC.
Kasus phishing terbesar dalam sejarah, 2,84 miliar dolar AS menghilang dalam sekejap
(Sumber: Certik)
Dalam kasus pencurian mata uang kripto Januari 2026, yang paling mengejutkan adalah penipuan rekayasa sosial terhadap dompet perangkat keras. Pada 16 Januari, seorang investor kehilangan 2,84 miliar dolar AS akibat serangan phishing, yang sekitar 71% dari total kerugian bulan tersebut setelah penyesuaian, menjadikannya insiden phishing terbesar dalam sejarah mata uang kripto dengan kerugian tunggal.
Metode penyerang tampak sederhana namun sangat efektif. Mereka menyamar sebagai customer service resmi Trezor, menghubungi korban melalui email atau pesan phishing, mengklaim bahwa akun mengalami masalah keamanan dan perlu diverifikasi. Dengan teknik rekayasa sosial yang dirancang matang, korban akhirnya mengungkapkan kata sandi pemulihan. Setelah penyerang mendapatkan 12 atau 24 kata sandi tersebut, mereka sepenuhnya mengendalikan dompet, tanpa perlu melakukan cracking teknis.
Kasus pencurian ini menyebabkan 1.459 BTC dan 2,05 juta LTC langsung dicuri. Berdasarkan harga pasar saat itu, kerugian Bitcoin sekitar 123 juta dolar AS (dengan asumsi 84.000 dolar per BTC), dan LTC sekitar 161 juta dolar AS (dengan asumsi 78 dolar per LTC). Skala pencurian ini menunjukkan bahwa korban kemungkinan adalah investor awal atau institusi dengan aset kripto besar.
Setelah kejadian Trezor, aset yang dicuri langsung dipindahkan secara massal ke Monero (XMR). Monero adalah token yang fokus pada privasi, mampu menyembunyikan riwayat transaksi, sehingga pelacakan dana menjadi sangat sulit. Transaksi besar ini memicu lonjakan harga Monero di pasar, menyoroti tantangan regulasi dalam menghadapi penggunaan privasi coin untuk pelarian modal ilegal dan pencucian uang.
Kasus ini memberikan pelajaran penting: bahkan dompet perangkat keras yang paling aman pun tidak efektif jika keamanan pengguna dilanggar. Teknologi enkripsi Trezor sendiri tidak diretas, masalahnya terletak pada pengguna yang menyerahkan informasi keamanan paling penting—kata sandi pemulihan—kepada penyerang. Ini menegaskan bahwa faktor manusia tetap menjadi risiko utama dalam pencurian kripto, karena teknologi canggih pun tidak mampu mencegah pengungkapan kunci secara sengaja atau tidak sengaja oleh pengguna.
Step Finance dan Truebit mengalami kerugian besar
Selain kasus phishing Trezor, Januari juga menyaksikan beberapa serangan besar terhadap kerentanan kontrak pintar. Pada 31 Januari, Step Finance yang berbasis di Solana diserang dengan kerugian sebesar 30 juta dolar AS, di mana penyerang memanfaatkan “celah yang sudah dikenal luas” untuk mengosongkan beberapa vault dan dompet biaya, dengan total 261.854 SOL dipindahkan.
Step Finance adalah platform DeFi penting dalam ekosistem Solana, menyediakan alat pengelolaan aset dan analisis. Kejadian pencurian ini sangat sensitif karena terjadi saat ekosistem Solana baru saja mengalami pertumbuhan pesat, dengan banyak dana mengalir masuk. Penyerang memilih untuk menyerang saat itu, tampaknya tertarik dengan akumulasi aset besar di platform tersebut.
Deskripsi “celah yang sudah dikenal luas” sendiri penuh ironi. Ini menunjukkan bahwa kerentanan Step Finance bukanlah bug zero-day baru, melainkan kelemahan yang sudah dikenal luas di komunitas keamanan. Situasi ini membuat kerugian menjadi lebih menyedihkan, karena seharusnya bisa dicegah melalui audit keamanan dan perbaikan tepat waktu.
Laporan Truebit menyebutkan bahwa karena kerentanan overflow, perusahaan kehilangan 26,6 juta dolar AS, yang merupakan serangan langsung terbesar terhadap kode protokol bulan itu. Kerentanan overflow adalah kelemahan klasik dalam kontrak pintar, di mana nilai yang melebihi kapasitas penyimpanan variabel dapat menyebabkan perilaku abnormal. Penyerang memanfaatkan celah ini untuk mencetak token berlebih, melewati pemeriksaan saldo, atau melakukan transfer tidak sah.
Peringkat kerugian utama pencurian mata uang kripto bulan Januari
Kasus phishing Trezor: 2,84 miliar dolar AS (71%)
Step Finance: 30 juta dolar AS
Truebit: 26,6 juta dolar AS
Swapnet: 13 juta dolar AS
Saga: 6,2 juta dolar AS
Makina Finance: 4,2 juta dolar AS
Angka-angka ini mengungkapkan kenyataan yang mengkhawatirkan: baik serangan rekayasa sosial maupun kerentanan teknis, metode pencurian kripto terus berkembang, dan langkah pertahanan sering tertinggal.
Kesalahan manusia dan kebocoran kunci pribadi menjadi risiko terbesar
Data CertiK menunjukkan bahwa 40 kejadian pencurian kripto yang tercatat menyebabkan kerugian sekitar 370,3 juta dolar AS. Kejadian ini menunjukkan bahwa kesalahan manusia dan kebocoran kunci pribadi tetap menjadi risiko finansial terbesar yang dihadapi industri baru ini. Dibandingkan dengan serangan protokol yang kompleks, penipuan rekayasa sosial dan phishing lebih sulit dicegah karena menargetkan kelemahan manusia.
Kejadian bulan ini bukanlah serangan teknis rumit, melainkan dominasi penipuan rekayasa sosial yang berdampak besar. Tren ini patut diwaspadai karena menunjukkan bahwa penyerang menyadari, daripada menghabiskan sumber daya besar untuk memecahkan enkripsi, lebih baik menipu pengguna agar menyerahkan kunci mereka. Serangan ini berbiaya rendah, tingkat keberhasilannya tinggi, dan sulit dilacak serta dituntut.
Swapnet kehilangan 13 juta dolar AS, sementara Saga dan Makina Finance masing-masing kehilangan 6,2 juta dan 4,2 juta dolar AS. Kerugian ini jauh lebih kecil dari kasus Trezor, tetapi tersebar di berbagai platform dan protokol, menunjukkan bahwa ancaman pencurian kripto bersifat sistemik, bukan kasus individual.
Dari segi teknis, kerentanan kontrak pintar terus memberikan dampak besar di pasar. Kerentanan overflow, serangan reentrancy, bypass otorisasi, dan kelemahan klasik lainnya masih dimanfaatkan, menunjukkan bahwa banyak proyek kurang dalam investasi audit keamanan. Lebih membahayakan lagi, bahkan kontrak yang sudah diaudit pun bisa menyembunyikan celah yang belum terdeteksi dalam logika kompleksnya.
Seiring industri memasuki bulan Februari, data ini mengingatkan kita bahwa bahkan enkripsi perangkat keras paling kuat pun tidak efektif jika keamanan pengguna dilanggar. Kasus Trezor membuktikan hal ini: dompet hardware sendiri dirancang aman, tetapi begitu pengguna menyerahkan kata sandi pemulihan kepada penyerang, semua perlindungan teknologi menjadi sia-sia.
Langkah-langkah utama mencegah pencurian kripto
Dalam menghadapi ancaman pencurian kripto yang semakin serius, pengguna dan platform harus menerapkan langkah keamanan yang lebih ketat. Bagi pengguna individu, hal terpenting adalah jangan pernah mengungkapkan kata sandi pemulihan atau kunci pribadi kepada siapa pun, apapun klaimnya. Customer service resmi tidak akan pernah meminta informasi ini, dan setiap permintaan semacam itu harus dianggap sebagai penipuan.
Bagi platform, audit keamanan rutin dan program bounty bug sangat penting. Serangan “celah yang sudah dikenal luas” pada Step Finance sebenarnya bisa dicegah dengan pemeriksaan keamanan yang tepat waktu. Banyak proyek crypto sukses membangun mekanisme pemantauan keamanan berkelanjutan dan bekerja sama dengan komunitas hacker putih (white hat) untuk menemukan celah sebelum penyerang melakukannya.
Peran privasi coin seperti Monero dalam pencucian uang juga memicu perhatian regulasi. Meskipun perlindungan privasi adalah nilai inti dari kripto, penggunaannya untuk menutupi aktivitas ilegal menimbulkan tekanan dari regulator. Menemukan keseimbangan antara perlindungan privasi yang sah dan penanggulangan kejahatan adalah tantangan besar yang harus dihadapi industri kripto.
