Pemindaian menyeluruh krisis keamanan ekosistem blockchain Web3 tahun 2025

Blackhat attacks, scams, and exit scams are occurring frequently. The security landscape of blockchain in 2025 has both positive and negative aspects.

Pendahuluan

Tahun 2025 akan segera berakhir, dan tahun ini merupakan tahun penuh tantangan bagi ekosistem Web3 dan blockchain secara keseluruhan. Berdasarkan data pemantauan keamanan yang otoritatif, kerugian akibat berbagai insiden keamanan di seluruh dunia kembali menembus angka astronomis, tetapi kita juga melihat beberapa perubahan positif—kesadaran pengguna dalam pencegahan meningkat, pembangunan keamanan industri semakin diperkuat. Artikel ini merangkum data kunci dan kejadian khas di bidang keamanan blockchain tahun 2025, bertujuan membantu para pelaku dan pengguna memahami ancaman yang dihadapi saat ini, serta bagaimana cara menghadapinya dengan lebih baik.

Data Numerik: Angka Mengagumkan tentang Keamanan Blockchain 2025

Kondisi Umum: Kerugian total 33,75 miliar yuan dalam satu tahun

Berdasarkan data dari platform pemantauan keamanan profesional, pada tahun 2025, ekosistem Web3 mengalami kerugian kumulatif sebesar 3,375 miliar dolar AS akibat serangan hacker, penipuan, dan exit scam. Angka ini cukup menunjukkan tingkat keparahan masalah.

Secara spesifik:

• Serangan hacker paling ganas: 191 insiden serangan, kerugian mencapai 3,187 miliar dolar AS, meningkat 77,85% dibandingkan 2024
• Risiko penipuan menurun: 113 insiden penipuan, kerugian 177 juta dolar AS, turun 69,15% secara tahunan
• Fenomena exit scam juga membaik: kerugian dari exit scam proyek sebesar 1,15 juta dolar AS, turun 92,21% secara tahunan

Data ini mencerminkan fenomena menarik: metode penipuan dan exit scam tradisional mulai digantikan oleh serangan hacker yang lebih canggih. Target serangan dari investor ritel beralih ke target yang lebih bernilai—bursa dan protokol DeFi besar.

Ciri musiman yang jelas

Kerugian paling besar terjadi pada kuartal pertama 2025, terutama disebabkan oleh serangan rantai pasokan terhadap bursa utama yang menyebabkan kerugian sebesar 1,44 miliar dolar AS. Setelah itu, kerugian menunjukkan tren menurun setiap kuartal, menunjukkan bahwa ekosistem secara bertahap memperkuat perlindungan.

Peta Risiko Blockchain: Proyek mana yang paling rentan menjadi sasaran

Bursa menjadi “buah manis” bagi hacker

9 serangan terhadap bursa terpusat menyebabkan kerugian sebesar 1,765 miliar dolar AS, mewakili 52,30% dari total kerugian tahunan. Ini menunjukkan bahwa hacker sudah memusatkan perhatian mereka pada target besar seperti bursa. Sebuah bursa utama mengalami kerugian 1,44 miliar dolar dari serangan rantai pasokan, dan beberapa bursa lain juga mengalami pencurian dalam tingkat yang berbeda.

Mengapa bursa menjadi area paling rawan? Alasannya sederhana—bursa mengelola aset pengguna secara terpusat, sehingga satu serangan yang berhasil bisa mendapatkan keuntungan besar, jauh lebih menguntungkan daripada menyerang proyek DeFi satu per satu.

Proyek DeFi: frekuensi serangan tertinggi, tetapi kerugian per insiden tidak sebesar bursa

91 insiden serangan DeFi menyebabkan kerugian sebesar 621 juta dolar AS. Kasus paling mencolok adalah pencurian sebesar 224 juta dolar dari Cetus Protocol, yang menyumbang 36,07% dari kerugian DeFi. Selanjutnya adalah kerugian sebesar 116 juta dolar dari Balancer.

Ini menunjukkan bahwa meskipun DeFi menghadapi jumlah serangan terbanyak, karena ekosistemnya yang relatif tersebar, kerugian per insiden biasanya lebih kecil dibandingkan bursa. Namun, kerentanan kontrak cerdas tetap menjadi metode serangan yang efektif.

Ancaman lain yang tidak boleh diabaikan

Dompet, browser, paket kode pihak ketiga, robot MEV, dan infrastruktur lainnya juga mulai menjadi target serangan, menunjukkan bahwa cakupan serangan semakin meluas dan logika serangan pun semakin canggih.

Peringkat Keamanan Blockchain Publik: Ethereum tetap menjadi “zona merah”

Di antara semua blockchain publik, Ethereum mengalami jumlah insiden keamanan terbanyak, sebanyak 170 kejadian yang menyebabkan kerugian sebesar 2,254 miliar dolar AS, mewakili 66,79% dari total kerugian tahunan. Ini tidak hanya mencerminkan pentingnya ekosistem Ethereum (tingginya konsentrasi aset), tetapi juga mengungkap risiko yang dihadapi.

BNB Chain berada di posisi kedua, dengan 64 insiden dan kerugian 89,83 juta dolar AS, tetapi meningkat 110,87% dibandingkan 2024, yang menimbulkan kekhawatiran.

Base dan Solana masing-masing mengalami 20 dan 19 insiden, menunjukkan munculnya masalah keamanan pada blockchain baru.

Peningkatan Metode Serangan: dari celah tradisional ke cacat logika kompleks

Eksploitasi celah kontrak cerdas tetap dominan

Dari 191 serangan, 62 berasal dari eksploitasi celah kontrak cerdas, sekitar 32,46%. Di antaranya, celah logika bisnis paling mematikan, menyebabkan kerugian sebesar 464 juta dolar AS. Ini menunjukkan bahwa meskipun pengujian keamanan semakin ketat, cacat logika kontrak tetap menjadi pintu masuk utama hacker.

Serangan rantai pasokan menjadi tren baru

Kerugian 1,44 miliar dolar dari bursa utama berasal dari serangan rantai pasokan, menyumbang 42,67% dari total kerugian. Metode serangan ini semakin populer—hacker tidak langsung menyerang produk, melainkan dari upstream seperti dependensi, toolchain, dan lain-lain.

Risiko kebocoran kunci pribadi menurun

Tahun ini, terjadi 20 insiden kebocoran kunci pribadi dengan total kerugian 180 juta dolar AS, turun drastis dibandingkan tahun lalu. Ini menunjukkan bahwa industri semakin memperhatikan pengelolaan kunci pribadi, dan kesadaran pengguna dalam pencegahan juga meningkat.

Analisis dua kasus utama

Kasus 1: Bencana 2,24 miliar dolar dari Cetus Protocol

DEX Cetus Protocol di ekosistem Sui mengalami kerusakan besar pada Mei 2025. Penyebabnya adalah kesalahan implementasi operasi shift kiri dalam kode pustaka sumber terbuka.

Langkah serangan disederhanakan:

1. Hacker meminjam 10 juta haSUI melalui pinjaman flash
2. Membuat posisi likuiditas dengan rentang harga [300000, 300200]
3. Hanya dengan 1 unit haSUI, mendapatkan nilai likuiditas yang sangat besar (skala 10^28)
4. Cepat menarik likuiditas, menguras kolam
5. Melunasi pinjaman flash, memperoleh keuntungan sekitar 570.000 SUI

Akar masalah: Fungsi checked_shlw tidak mampu memeriksa overflow secara efektif. Input di bawah ambang tertentu bisa melewati pemeriksaan, tetapi setelah shift kiri tetap berpotensi overflow. Bahasa Move tidak otomatis menghentikan operasi shift kiri saat overflow, memberi peluang bagi hacker—mereka bisa menukar sedikit token untuk mendapatkan aset besar.

Kasus 2: Keruntuhan sistem sebesar 1,16 miliar dolar dari Balancer

Pada November 2025, protokol Balancer v2 dan fork-nya di berbagai chain mengalami perampokan total, kerugian mencapai 1,16 miliar dolar.

Rantai serangan:

1. Hacker melakukan pertukaran massal, menukar banyak token likuiditas dengan BPT
2. Cadangan token likuiditas di pool menjadi sangat rendah
3. Melakukan pertukaran osETH/WETH
4. Menukar kembali token likuiditas ke BPT
5. Mengulangi operasi di beberapa pool, lalu menarik dana dan mendapatkan keuntungan

Inti celah: ComposableStablePools menggunakan formula StableSwap dari Curve. Namun, kesalahan presisi selama proses skala menyebabkan nilai perhitungan underestimasi, membuka peluang serangan. Fungsi mulDown yang membulatkan ke bawah memperbesar kesalahan ini.

Perspektif Anti-Pencucian Uang: “Ilusi Hilangnya” aset yang dicuri

Kasus pencucian uang dari sindikat narkoba

Sebuah jaringan pencucian uang yang dikendalikan oleh kepala sindikat narkoba terungkap. Mereka menyelundupkan kokain melalui Kolombia dan Meksiko, lalu mencuci kekayaan ilegal menggunakan cryptocurrency. Tiga alamat terkait memproses total 266 juta USDT, meskipun sebagian aset dibekukan oleh otoritas, sebagian besar telah dipindahkan ke berbagai bursa melalui transaksi frekuensi tinggi dan transfer berlapis.

Kasus ini menunjukkan bahwa: Hacker atau pelaku kriminal memanfaatkan DeFi, jembatan lintas rantai, bursa, dan lain-lain untuk mengaburkan aliran dana dan menghindari pelacakan penegak hukum.

Kasus GMX kehilangan 40 juta dolar

Pada Juli 2025, GMX diserang melalui celah re-entrancy, dan hacker memperoleh keuntungan sebesar 42 juta dolar. Jejaknya menunjukkan:

• Pelaku menukar berbagai token menjadi ETH dan USDC melalui protokol DEX
• Menggunakan protokol lintas rantai untuk mendistribusikan aset ke Ethereum
• 32 juta dolar ETH didistribusikan ke 4 alamat berbeda
• 10 juta dolar aset mengalir ke Arbitrum

Pelajaran utama: Aset yang dicuri “menghilang” secara bertahap—pertama dipindahkan di chain asal untuk mengaburkan jejak, lalu lintas lintas chain, dan akhirnya disimpan di berbagai alamat. Proses ini sudah menjadi pola standar para hacker.

Refleksi dan Harapan: Pelajaran dari 2025

Tanda positif mulai muncul

Dibandingkan 2024, kerugian dari penipuan dan exit scam menurun secara signifikan, menunjukkan bahwa:

• Kesadaran pengguna dalam pencegahan meningkat
• Proyek semakin memperhatikan audit keamanan
• Industri secara bertahap memperkuat keamanan
• Ada perubahan sikap dalam belajar dari celah sebelumnya

Namun, ancaman baru juga muncul

• Serangan rantai pasokan menjadi risiko utama: dari dependensi hingga toolchain, hacker menyerang dari upstream
• Serangan rekayasa sosial/phishing meningkat: dari 10 insiden keamanan terbesar, 2 di antaranya melibatkan kerugian besar dari pengguna individu, yang disebabkan oleh rekayasa sosial
• Cacat logika protokol yang kompleks sulit dicegah: hacker beralih dari celah kode sederhana ke cacat desain protokol
• Penyebaran lintas chain memperluas risiko: proyek yang berjalan di banyak chain memiliki lebih banyak pintu masuk untuk serangan

Ancaman terhadap pengguna individu meningkat

Serangan phishing, pemerasan, dan ancaman fisik lainnya semakin meningkat. Banyak penipuan kecil yang tidak dilaporkan secara terbuka, sehingga data kerugian tampak lebih rendah, tetapi bagi korban, kerugiannya nyata dan signifikan.

Saran perlindungan untuk 2026 dan seterusnya

1. Untuk proyek: keamanan rantai pasokan harus menjadi prioritas utama, perlu pemantauan dan penilaian ancaman secara berkelanjutan
2. Untuk platform: perbaiki sistem perlindungan terhadap rekayasa sosial, dari teknologi hingga kolaborasi komunitas, membentuk pertahanan berlapis
3. Untuk pengguna: tingkatkan kesadaran pencegahan, lindungi data pribadi, kurangi eksposur aset kripto secara terbuka
4. Untuk industri: bangun ekosistem pertahanan dinamis dari kesadaran individu, perlindungan teknologi, hingga kerja sama penegakan hukum

Penutup

Tantangan keamanan Web3 dan blockchain di tahun 2025 sangat berat, tetapi juga menjadi peluang untuk refleksi dan kemajuan. Metode serangan hacker terus berkembang, dan solusi perlindungan harus mengikuti perkembangan tersebut. Dari keamanan rantai pasokan hingga perlindungan rekayasa sosial, dari audit teknologi hingga edukasi pengguna, setiap aspek tidak boleh diabaikan.

Kunci keberhasilan keamanan di masa depan tidak terletak pada satu teknologi saja, tetapi pada kemampuan pertahanan ekosistem secara keseluruhan—kerja sama antara proyek, perusahaan keamanan, platform perdagangan, pengguna, dan regulator. Masa depan teknologi blockchain bergantung pada seberapa kokoh kita membangun pertahanan keamanan hari ini.