Peretas Korea Utara merayakan "Tahun Gemuk": pencurian dana mencapai rekor pada tahun 2025, siklus pencucian uang sekitar 45 hari

Penulis: Chainalysis

Diterjemahkan: Felix, PANews

Menanggapi serangan hacker Korea Utara terhadap industri kripto selama bertahun-tahun, Chainalysis dalam Laporan Serangan Hacker 2025 memfokuskan analisis terhadap modus operandi hacker Korea Utara. Berikut adalah rincian kontennya.

Poin-poin utama:

• Hacker Korea Utara pada tahun 2025 mencuri kripto senilai 2,02 miliar dolar AS, meningkat 51% dibandingkan tahun sebelumnya, meskipun jumlah serangan menurun, total pencurian kumulatif telah mencapai 6,75 miliar dolar AS.
• Hacker Korea Utara mencuri lebih banyak kripto dengan jumlah serangan yang lebih sedikit, sering kali dengan menyusupkan staf TI ke dalam layanan kripto atau menggunakan strategi impersonasi kompleks yang menargetkan eksekutif.
• Hacker Korea Utara jelas lebih menyukai layanan pencucian uang berbahasa Mandarin, layanan jembatan lintas rantai, dan protokol mixer, dengan siklus pencucian uang sekitar 45 hari setelah insiden pencurian besar.
• Pada tahun 2025, insiden pencurian dompet pribadi meningkat pesat menjadi 158.000 kasus, dengan 80.000 pengguna menjadi korban, meskipun total nilai yang dicuri (713 juta dolar AS) menurun dibandingkan 2024.
• Meskipun total nilai terkunci di DeFi (TVL) meningkat, kerugian akibat serangan hacker dari 2024 ke 2025 tetap rendah, menunjukkan bahwa langkah-langkah keamanan yang diperbaiki mulai menunjukkan hasil signifikan.

Pada tahun 2025, ekosistem kripto kembali menghadapi tantangan berat, dengan dana yang dicuri terus meningkat. Analisis menunjukkan bahwa pola pencurian kripto menunjukkan empat ciri utama: hacker Korea Utara tetap menjadi ancaman utama; serangan terhadap layanan terpusat semakin serius; insiden pencurian dompet pribadi meningkat; dan tren serangan hacker di DeFi menunjukkan divergensi yang tidak terduga.

**Situasi Umum:**Jumlah uang yang dicuri pada tahun 2025 melebihi 34 miliar dolar AS

Dari Januari hingga awal Desember 2025, jumlah uang yang dicuri di industri kripto melebihi 3,4 miliar dolar AS, dengan serangan terhadap Bybit pada Februari saja mencapai 1,5 miliar dolar AS.

Data juga mengungkapkan perubahan penting dalam insiden pencurian ini. Insiden pencurian dompet pribadi meningkat secara signifikan, dari 7,3% dari total nilai yang dicuri pada 2022 menjadi 44% pada 2024. Jika bukan karena dampak besar dari serangan terhadap Bybit, rasio ini kemungkinan mencapai 37% pada 2025.

Sementara itu, karena serangan kompleks terhadap infrastruktur kunci pribadi dan proses penandatanganan, layanan terpusat mengalami kerugian yang semakin besar. Meskipun platform ini memiliki sumber daya institusional dan tim keamanan profesional, mereka tetap rentan terhadap ancaman yang mampu melewati kontrol dompet dingin. Meskipun insiden semacam ini tidak sering terjadi (seperti yang ditunjukkan gambar di bawah), begitu terjadi, kerugian besar dapat terjadi, dan pada kuartal pertama 2025, kerugian dari insiden ini menyumbang 88% dari total kerugian. Banyak penyerang telah mengembangkan metode memanfaatkan integrasi dompet pihak ketiga dan memancing penandatanganan untuk mengotorisasi transaksi berbahaya.

Meskipun keamanan kripto di beberapa bidang mungkin membaik, tingginya jumlah uang yang dicuri menunjukkan bahwa penyerang tetap mampu meraih keberhasilan melalui berbagai cara.

Tiga serangan hacker terbesar menyumbang 69% dari total kerugian, dengan nilai ekstrem mencapai 1000 kali lipat dari median

Insiden pencurian dana biasanya didorong oleh kejadian ekstrem, sebagian besar serangan hacker berukuran relatif kecil, tetapi ada juga yang besar. Namun, situasi tahun 2025 memburuk: serangan hacker terbesar dan rasio terhadap median dari semua insiden pertama kali melampaui 1000 kali lipat. Sekarang, dana yang dicuri dalam serangan terbesar adalah 1000 kali lipat dari dana yang dicuri dalam insiden biasa, bahkan melebihi puncak pasar bullish 2021. Perhitungan ini didasarkan pada nilai dolar dari dana yang dicuri saat kejadian.

Kesenjangan yang semakin melebar ini menyebabkan kerugian terkonsentrasi tinggi. Tiga serangan hacker terbesar tahun 2025 menyumbang 69% dari total kerugian, dan satu insiden memiliki dampak yang sangat signifikan terhadap total kerugian tahunan. Meskipun frekuensi serangan bisa berfluktuasi dan median kerugian meningkat seiring kenaikan harga aset, potensi kerugian dari celah besar tetap meningkat lebih cepat.

Meskipun jumlah serangan yang dikonfirmasi menurun, Korea Utara tetap menjadi ancaman utama

Meskipun frekuensi serangan menurun secara signifikan, Korea Utara tetap menjadi negara dengan ancaman paling serius terhadap keamanan kripto, dengan pencurian kripto pada 2025 mencapai rekor baru, setidaknya 2,02 miliar dolar AS (bertambah 681 juta dolar dari 2024), meningkat 51% secara tahunan. Dari segi jumlah uang yang dicuri, ini adalah tahun terburuk dalam catatan pencurian kripto Korea Utara, dengan serangan yang dilakukan Korea Utara menyumbang 76% dari semua insiden intrusi, rekor tertinggi. Secara keseluruhan, total pencurian kripto oleh Korea Utara diperkirakan minimal mencapai 6,75 miliar dolar AS.

Hacker Korea Utara semakin sering menyusupkan staf TI (salah satu metode utama serangan) ke dalam layanan kripto untuk mendapatkan akses istimewa dan melakukan serangan besar-besaran. Insiden serangan yang mencatatkan rekor tahun ini mungkin mencerminkan bahwa Korea Utara semakin bergantung pada infiltrasi staf TI di bursa, lembaga kustodian, dan perusahaan Web3, yang mempercepat akses awal dan pergerakan lateral, menciptakan kondisi untuk pencurian besar-besaran.

Namun, kelompok hacker terkait Korea Utara baru-baru ini benar-benar membalik pola ini. Mereka tidak lagi sekadar melamar posisi dan menyusup sebagai karyawan, tetapi semakin sering menyamar sebagai perekrut dari perusahaan Web3 dan AI terkenal, merancang proses rekrutmen palsu secara cermat, dan akhirnya dengan kedok “penyaringan teknis”, mendapatkan kredensial login korban, kode sumber, serta akses VPN atau Single Sign-On (SSO) dari pemberi kerja mereka. Di tingkat eksekutif, metode rekayasa sosial serupa muncul dalam bentuk kontak dari investor strategis palsu atau pihak akuisisi, menggunakan pertemuan pengenalan dan due diligence palsu untuk menyelidiki sistem sensitif dan infrastruktur bernilai tinggi—perubahan ini secara langsung didasarkan pada penipuan pekerja TI Korea Utara dan difokuskan pada perusahaan AI dan blockchain yang strategis.

Seperti yang terlihat dalam beberapa tahun terakhir, serangan siber Korea Utara terus bernilai jauh lebih tinggi daripada kelompok hacker lain. Seperti yang ditunjukkan gambar di bawah, dari 2022 hingga 2025, serangan hacker Korea Utara mendominasi nilai tertinggi, sementara serangan non-Korea Utara tersebar secara lebih normal. Pola ini semakin menunjukkan bahwa saat Korea Utara melancarkan serangan, mereka menargetkan layanan besar untuk menghasilkan dampak maksimal.

Kerugian besar tahun ini berasal dari penurunan signifikan dalam insiden yang diketahui. Perubahan ini (penurunan insiden tetapi kerugian besar) mencerminkan dampak dari serangan besar terhadap Bybit pada Februari 2025.

Mode Pencucian Uang Unik Korea Utara

Masuknya sejumlah besar dana yang dicuri pada awal 2025 mengungkapkan bagaimana hacker Korea Utara melakukan pencucian uang dalam skala besar. Pola mereka berbeda secara mencolok dari pelaku kejahatan siber lain dan terus berkembang seiring waktu.

Aktivitas pencucian uang Korea Utara menunjukkan pola “pengelompokan” yang jelas, dengan lebih dari 60% volume transaksi terkonsentrasi di bawah 50.000 dolar AS. Sebaliknya, dana yang dipindahkan oleh hacker lain di rantai lebih dari 60% dilakukan secara bertahap dalam rentang 1 juta hingga di atas 10 juta dolar AS. Meskipun jumlah uang yang dicuci oleh Korea Utara setiap kali lebih tinggi dari hacker lain, mereka membagi transfer di rantai menjadi batch yang lebih kecil, menonjolkan kompleksitas metode pencucian uang mereka.

Dibandingkan hacker lain, Korea Utara menunjukkan preferensi yang jelas dalam beberapa aspek pencucian uang:

• Transfer dana dan layanan jaminan berbahasa Mandarin (+355% hingga lebih dari 1000%): ciri paling mencolok, sangat bergantung pada layanan jaminan berbahasa Mandarin dan jaringan pencucian uang yang terdiri dari operator pencucian uang yang mungkin memiliki kontrol yang lemah secara kepatuhan.
• Layanan jembatan lintas rantai (+97%): sangat bergantung pada layanan jembatan lintas rantai untuk memindahkan aset antar blockchain dan berusaha meningkatkan kesulitan pelacakan.
• Layanan mixer (+100%): lebih banyak menggunakan layanan mixer untuk mencoba menyembunyikan aliran dana.
• Layanan profesional seperti Huione (+356%): secara strategis menggunakan layanan tertentu untuk mendukung aktivitas pencucian uang mereka.

Hacker lain yang terlibat dalam pencucian uang cenderung:

• Protokol pinjaman (-80%): Korea Utara menghindari penggunaan layanan DeFi ini, menunjukkan integrasi yang terbatas dengan ekosistem DeFi secara umum.
• Bursa tanpa KYC (-75%): mengejutkan, hacker lain lebih banyak menggunakan bursa tanpa KYC dibanding Korea Utara.
• Bursa P2P (-64%): minat Korea Utara terhadap platform P2P terbatas.
• CEX (-25%): hacker lain lebih aktif berinteraksi langsung dengan platform bursa tradisional.
• DEX (-42%): hacker lain lebih cenderung menggunakan DEX karena likuiditas tinggi dan anonimitasnya.

Pola-pola ini menunjukkan bahwa operasi Korea Utara dipengaruhi oleh batasan dan tujuan yang berbeda dari kelompok kejahatan siber non-negara. Mereka secara besar-besaran menggunakan layanan pencucian uang profesional berbahasa Mandarin dan dealer OTC, menunjukkan hubungan erat dengan pelaku ilegal di kawasan Asia Pasifik.

Garis Waktu Pencucian Uang Dana yang Dicuri Setelah Serangan Hacker Korea Utara

Analisis aktivitas on-chain dari insiden hacker yang dikaitkan dengan Korea Utara dari 2022 hingga 2025 menunjukkan pola yang konsisten dalam pergerakan dana curian di ekosistem kripto. Setelah insiden pencurian besar, dana yang dicuri mengikuti jalur pencucian yang terstruktur dan berfase, berlangsung sekitar 45 hari:

Fase Pertama: Segera Bertingkat (Hari 0-5)

Dalam beberapa hari pertama setelah serangan, aktivitas yang tidak biasa sangat aktif, fokus utama adalah memindahkan dana dari sumber pencurian secepat mungkin:

• Volume dana yang dicuri dari protokol DeFi meningkat paling besar (+370%), menjadi titik masuk utama.
• Volume transaksi layanan mixer juga meningkat pesat (+135-150%), membentuk lapisan pertama pengacauan.
• Fase ini merupakan langkah “pertama” darurat, bertujuan memisahkan diri dari tindakan pencurian awal.

Fase Kedua: Integrasi Awal (Hari 6-10)

Memasuki minggu kedua, strategi pencucian uang beralih ke layanan yang membantu menyalurkan dana ke ekosistem yang lebih luas:

• Bursa dengan pembatasan KYC yang lebih sedikit (+37%) dan CEX (+32%) mulai menerima aliran dana.
• Mixer lapis kedua (+76%) melanjutkan pencucian dengan intensitas lebih rendah.
• Cross-chain bridging (misalnya XMRt, +141%) membantu mendiversifikasi dan menyembunyikan aliran dana antar blockchain.
• Ini adalah periode transisi penting, dana mulai mengalir ke saluran keluar potensial.

Fase Ketiga: Integrasi Jangka Panjang (Hari 20-45)

Tahap terakhir cenderung berfokus pada layanan yang memungkinkan konversi akhir ke fiat atau aset lain:

• Bursa tanpa KYC (+82%) dan layanan jaminan (misalnya Potatoblock, +87%) menunjukkan peningkatan signifikan.
• Exchange instan (+61%) dan platform berbahasa Mandarin (+45%) menjadi titik akhir konversi.
• CEX (+50%) juga menerima dana, menunjukkan upaya kompleks untuk mencampur dana dengan dana legal.
• Platform dengan regulasi lebih longgar, seperti jaringan pencucian uang berbahasa Mandarin (+33%) dan Grinex (+39%), melengkapi pola ini.

Rentang waktu pencucian uang yang biasanya berlangsung sekitar 45 hari ini memberi intel penting bagi penegak hukum dan tim kepatuhan. Pola ini berlangsung selama bertahun-tahun, menunjukkan bahwa hacker Korea Utara menghadapi batasan operasional, yang mungkin terkait dengan keterbatasan akses mereka ke infrastruktur keuangan dan kebutuhan berkoordinasi dengan perantara tertentu.

Meskipun hacker ini tidak selalu mengikuti garis waktu tepat ini—beberapa dana yang dicuri mungkin tidur selama berbulan-bulan atau bertahun-tahun—pola ini mewakili perilaku on-chain mereka saat aktif melakukan pencucian uang. Perlu diingat bahwa analisis ini mungkin memiliki blind spot, karena aktivitas tertentu (seperti transfer kunci pribadi atau pertukaran kripto OTC tanpa bukti pendukung) tidak akan terlihat di chain tanpa intelijen tambahan.

Ancaman terhadap pengguna pribadi: Pencurian dompet pribadi semakin meningkat

Melalui analisis pola on-chain dan laporan dari korban serta mitra industri, dapat dipahami tingkat keparahan pencurian dompet pribadi, meskipun jumlah sebenarnya mungkin jauh lebih besar. Perkiraan terendah menunjukkan bahwa pencurian dompet pribadi pada 2025 menyebabkan kerugian nilai sekitar 20% dari total kerugian, lebih rendah dari 44% pada 2024, menunjukkan perubahan dalam skala dan pola. Jumlah insiden pencurian tahun 2025 melonjak menjadi 158.000 kasus, hampir tiga kali lipat dari 54.000 kasus yang tercatat pada 2022. Jumlah pengguna yang menjadi korban meningkat dari 40.000 pada 2022 menjadi minimal 80.000 pada 2025. Peningkatan signifikan ini kemungkinan besar disebabkan oleh adopsi kripto yang lebih luas. Misalnya, salah satu blockchain dengan jumlah dompet pribadi aktif terbanyak, Solana, mencatat jumlah insiden pencurian tertinggi (sekitar 26.500 korban).

Namun, meskipun insiden dan jumlah korban meningkat, total dolar yang dicuri dari setiap korban pada 2025 menurun dari puncaknya 1,5 miliar dolar AS pada 2024 menjadi 713 juta dolar AS. Ini menunjukkan bahwa target pengguna semakin banyak, tetapi jumlah yang dicuri dari setiap korban berkurang.

Data kerugian dari jaringan tertentu memberi wawasan lebih dalam tentang bidang mana yang paling mengancam pengguna kripto. Gambar di bawah menunjukkan data korban yang disesuaikan berdasarkan jumlah dompet aktif di setiap jaringan. Dengan mengukur tingkat kejahatan per 100.000 dompet pada 2025, Ethereum dan TRON memiliki tingkat pencurian tertinggi. Skala pengguna besar Ethereum menunjukkan tingkat pencurian dan jumlah korban yang tinggi, sementara peringkat TRON menunjukkan bahwa meskipun jumlah dompet aktif lebih sedikit, tingkat pencurian tetap tinggi. Sebaliknya, meskipun Base dan Solana memiliki basis pengguna besar, tingkat kerugiannya lebih rendah.

Ini menunjukkan bahwa risiko keamanan dompet pribadi dalam ekosistem kripto tidak merata. Bahkan dengan arsitektur teknologi yang serupa, tingkat kerugian di berbagai blockchain berbeda, menunjukkan bahwa selain faktor teknis, karakteristik pengguna, aplikasi populer, dan infrastruktur kejahatan juga memainkan peran penting dalam menentukan tingkat pencurian.

Serangan hacker DeFi: Pola Divergensi Menunjukkan Perubahan Pasar

Data kejahatan di bidang DeFi tahun 2025 menunjukkan pola unik yang berbeda secara mencolok dari tren historis.

Terdapat tiga fase yang sangat berbeda:

• Fase pertama (2020-2021): TVL DeFi dan kerugian serangan hacker meningkat secara bersamaan
• Fase kedua (2022-2023): keduanya menurun secara bersamaan
• Fase ketiga (2024-2025): TVL pulih, tetapi kerugian serangan hacker tetap stabil

Dua fase pertama mengikuti pola yang intuitif: semakin besar risiko, semakin banyak nilai yang dapat dicuri, dan serangan terhadap protokol bernilai tinggi semakin intens. Seperti kata perampok bank Willie Sutton: “Karena di sana ada uang.”

Ini membuat perbedaan di fase ketiga menjadi lebih mencolok. TVL DeFi telah pulih secara signifikan dari titik terendah 2023, tetapi kerugian akibat serangan hacker tidak meningkat seiring waktu. Meskipun miliaran dolar mengalir kembali ke protokol ini, insiden serangan hacker di DeFi tetap rendah, menandai perubahan penting.

Dua faktor berikut mungkin menjelaskan perbedaan ini:

• Peningkatan keamanan: meskipun TVL terus meningkat, tingkat serangan hacker menurun, menunjukkan bahwa protokol DeFi mungkin telah menerapkan langkah keamanan yang lebih efektif dibandingkan 2020-2021.
• Perpindahan target: peningkatan bersamaan dalam pencurian dompet pribadi dan serangan terhadap layanan terpusat menunjukkan bahwa perhatian penyerang mungkin beralih ke target lain.

Studi Kasus: Respon Keamanan Venus Protocol

Insiden pada Venus Protocol pada September 2025 menunjukkan bahwa langkah-langkah keamanan yang diperbaiki mulai menunjukkan hasil nyata. Saat itu, penyerang memanfaatkan klien Zoom yang diretas untuk mendapatkan akses sistem dan memancing satu pengguna memberikan izin delegasi untuk akun senilai 13 juta dolar AS, yang berpotensi menyebabkan kerusakan besar. Namun, Venus secara kebetulan telah mengaktifkan platform pemantauan keamanan Hexagate satu bulan sebelumnya.

Platform ini mendeteksi aktivitas mencurigakan 18 jam sebelum serangan dan langsung mengirimkan peringatan saat transaksi berbahaya terjadi. Dalam waktu 20 menit, Venus menangguhkan protokolnya, mencegah aliran dana lebih lanjut. Respon yang terkoordinasi ini menunjukkan evolusi keamanan DeFi:

• Dalam 5 jam: pemeriksaan keamanan selesai dan sebagian fungsi dipulihkan
• Dalam 7 jam: likuidasi paksa terhadap dompet penyerang
• Dalam 12 jam: seluruh dana yang dicuri dipulihkan dan layanan dipulihkan

Yang paling penting, Venus meloloskan proposal tata kelola yang membekukan aset senilai 3 juta dolar AS yang masih dikendalikan penyerang; penyerang tidak mendapatkan keuntungan, malah mengalami kerugian.

Insiden ini menunjukkan bahwa infrastruktur keamanan DeFi telah mengalami peningkatan nyata. Pemantauan aktif, respons cepat, dan mekanisme tata kelola yang mampu mengambil tindakan tegas membuat ekosistem menjadi lebih fleksibel dan tangguh. Meskipun serangan masih terjadi, kemampuan untuk mendeteksi, merespons, bahkan membalikkan serangan ini merupakan perubahan mendasar dibandingkan dengan serangan besar di era awal DeFi yang sering berakibat kerugian permanen.

Dampak terhadap 2026 dan seterusnya

Data 2025 menunjukkan evolusi kompleks dari ancaman terbesar di industri kripto oleh Korea Utara. Jumlah serangan menurun, tetapi tingkat destruktivitas meningkat secara signifikan, menunjukkan bahwa metode mereka semakin canggih dan lebih sabar. Dampak insiden di Bybit terhadap pola aktivitas tahunan mereka menunjukkan bahwa ketika Korea Utara berhasil melakukan pencurian besar, mereka mengurangi kecepatan operasinya dan berfokus pada pencucian uang.

Bagi industri kripto, evolusi ini menuntut peningkatan kewaspadaan terhadap target bernilai tinggi dan kemampuan mengenali pola pencucian uang Korea Utara yang spesifik. Preferensi mereka terhadap jenis layanan tertentu dan jumlah transfer yang terus berlanjut memberi peluang deteksi, membedakan mereka dari pelaku kejahatan lain, dan membantu penegak hukum mengidentifikasi karakteristik perilaku on-chain mereka.

Seiring Korea Utara terus menggunakan pencurian kripto untuk mendanai prioritas nasional dan menghindari sanksi internasional, industri kripto harus menyadari bahwa pola operasi Korea Utara berbeda dari kelompok kejahatan siber non-negara. Performa mereka yang mencatat rekor di 2025 (dengan penurunan serangan yang diketahui sebesar 74%) menunjukkan bahwa saat ini mungkin hanya bagian paling mencolok dari aktivitas mereka yang terlihat. Tantangan di 2026 adalah bagaimana mendeteksi dan mencegah aksi serupa serangan besar seperti di Bybit sebelum mereka terjadi lagi.

Baca juga: Peningkatan Kerugian Keamanan Kripto: Jumlah Serangan Menurun, tetapi Dampak Meroket