Analisis Kerentanan Keamanan Industri Kripto: 20 Insiden Serangan Khas Mengungkap Tiga Pola Utama

BroadChain BroadChain mendapat informasi, pada 21 April 18:16, April 2026, Kelp DAO mengalami kerugian sebesar $292 juta karena penyerang memanfaatkan token tanpa jaminan untuk meminjam aset nyata di Aave, menimbulkan kerugian lebih dari $200 juta dalam 46 menit. Ini hanyalah salah satu contoh dari serangkaian insiden keamanan baru-baru ini, dengan kasus seperti Drift Protocol yang digeledah $285 juta, Step Finance rugi sekitar $30 juta, dan Resolv Labs rugi sekitar $23 juta terjadi berturut-turut. Melalui tinjauan terhadap 20 peristiwa peretasan representatif baik dari sejarah maupun baru-baru ini, tiga pola signifikan dapat diamati: kasus kerentanan teknis mendominasi jumlahnya namun kerugian per kasus relatif terbatas; meskipun jumlah kasus serangan izin dan rekayasa sosial sedikit, mereka menyumbang sebagian besar total kerugian; skala serangan berbasis izin terus meningkat. Perlu dicatat bahwa di balik empat insiden dengan kerugian terbesar terdapat jejak kelompok peretas Korea Utara, sementara medan pertempuran kerentanan teknis sedang bergeser, dengan masalah keamanan di bidang jembatan lintas rantai (cross-chain bridge) menjadi sangat menonjol. Di antara sepuluh proyek dengan kerugian terbesar, Bybit digeledah $1,5 miliar pada Februari 2025, karena kelompok peretas Korea Utara Lazarus Group meretas mekanisme multi-tanda tangan (multi-signature) Safe Wallet melalui pembajakan UI front-end dan penipuan multi-tanda tangan; Ronin Network rugi $624 juta pada Maret 2022, juga disebabkan oleh Lazarus Group yang menguasai kunci pribadi node validasi melalui rekayasa sosial; Poly Network digeledah $611 juta pada Agustus 2021, intinya terletak pada kerentanan serius dalam manajemen izin kontrak lintas rantai; Wormhole rugi $326 juta pada Februari 2022, berasal dari penggunaan fungsi yang sudah usang dan tidak aman dalam proses verifikasi tanda tangan; Drift Protocol digeledah $285 juta pada April 2026, penyerang menyelesaikannya melalui infiltrasi terarah selama enam bulan dikombinasikan dengan penipuan pra-tanda tangan Solana Durable Nonce; WazirX rugi $235 juta pada Juli 2024, karena dompet multi-tanda tangan secara bertahap diretas dan diganti dengan kontrak jahat; Cetus rugi $223 juta pada Mei 2025, serangan memanfaatkan kerentanan overflow aritmatika dalam perhitungan likuiditas protokol; Gala Games rugi $216 juta pada Mei 2024, intinya terletak pada kunci pribadi akun pencetakan (minting) dengan izin tinggi yang diretas; Mixin Network rugi $200 juta pada September 2023, karena kunci pribadi yang disimpan terpusat di database cloud dicuri; Euler Finance rugi $197 juta pada Maret 2023, serangan memanfaatkan ketidakkonsistenan logika perhitungan aset dan liabilitas internal protokol. Di antara sepuluh insiden yang terjadi baru-baru ini, Hyperbridge rugi sekitar $2,5 juta pada April 2026, karena cacat logika verifikasi bukti pada Token Gateway; Venus Protocol rugi sekitar $3,7 juta hingga $5 juta pada Maret 2026, penyerang mendapat keuntungan dengan melewati pemeriksaan supply cap dan memanfaatkan kerentanan logika perhitungan rasio konversi.