Total Kerugian Tembus $16,69 Miliar
Industri kripto telah kehilangan total $16,69 miliar akibat peretasan, eksploitasi DeFi, dan serangan jembatan blockchain sepanjang sejarahnya. Yang mengejutkan, sekitar 40% dari angka fantastis tersebut — atau setara $6,68 miliar — bukan disebabkan oleh kelemahan smart contract atau celah teknis blockchain, melainkan karena kebocoran private key. Data ini diungkap oleh platform pelacakan DeFiLlama dan dikonfirmasi oleh firma keamanan blockchain CertiK dalam laporan terbarunya.
Private Key: Titik Lemah yang Sering Diabaikan
Private key secara sederhana dapat diibaratkan sebagai kata sandi utama yang memberikan akses penuh terhadap aset digital di dompet kripto. Jika private key jatuh ke tangan yang salah, seluruh dana bisa lenyap seketika — tanpa opsi reset, tanpa bank yang bisa dihubungi, dan tanpa departemen fraud yang bisa mengajukan klaim. Berbeda dengan perbankan tradisional, blockchain tidak memiliki mekanisme pemulihan akun terpusat. Siapa pun yang memegang private key, dialah pemilik dana tersebut.
Menurut CertiK, tren serangan siber di dunia kripto sedang bergeser. Insiden keamanan operasional terus meningkat, sementara eksploitasi smart contract justru menurun. Ini menunjukkan bahwa para peretas kini lebih memilih menyasar titik terlemah dalam sistem: manusia, alat bantu pihak ketiga, dan manajemen kunci yang ceroboh. Wish Wu, Co-Founder dan CEO Pharos, menjelaskan bahwa sebagian besar infrastruktur blockchain awalnya dibangun untuk model pengguna tunggal dengan satu kunci privat. Ini bertentangan dengan prinsip keamanan dasar yang telah diandalkan keuangan tradisional selama puluhan tahun: persetujuan multi-pihak, pemisahan tugas, dan pertahanan berlapis.
Pelajaran dari Peretasan Bybit: $1,5 Miliar Menguap Sekejap
Salah satu contoh paling dramatis adalah peretasan Bybit pada Februari 2025, di mana penyerang berhasil menyusupi rantai pasok perangkat lunak alat pengembang pihak ketiga dan menyuntikkan kode berbahaya ke antarmuka dompet. Hasilnya, eksekutif Bybit tanpa sadar menandatangani transaksi yang menguras $1,5 miliar dalam bentuk Ethereum. Insiden ini menjadi bukti nyata bahwa permukaan serangan kini meluas jauh melampaui kode smart contract — mencakup sistem cloud, media sosial, alat pihak ketiga, hingga orang-orang yang mengoperasikannya.
Le Fan, pendiri dan CEO Cysic, menyatakan dengan tegas bahwa ini bukanlah kegagalan kriptografi. Matematika kurva eliptik yang mendasari private key tidak bisa dipecahkan. Masalah sebenarnya adalah kegagalan manajemen kunci yang terus-menerus disalahlabeli oleh industri, tegasnya. Ia menjelaskan bahwa kunci operasional harus dalam keadaan panas agar bisa digunakan, sehingga kunci tersebut hidup di dalam layanan yang dikelilingi oleh penyimpanan rahasia, dependensi perangkat lunak, dan manusia — dan di situlah celah keamanan terjadi.
Solusi: MPC, Account Abstraction, dan Keamanan Berlapis
Kabar baiknya, industri kini mulai bergerak untuk mengatasi kerentanan ini. Teknologi Multi-Party Computation (MPC) dan threshold signing memungkinkan proses penandatanganan transaksi dipecah sehingga kunci privat lengkap tidak pernah berada di satu tempat pada waktu yang sama. Sementara itu, account abstraction memungkinkan pengguna menerapkan aturan keamanan kustom seperti batas pengeluaran harian, daftar alamat yang disetujui, dan wali cadangan langsung di level dompet.
Wu menekankan bahwa solusi-solusi ini seharusnya tidak menjadi fitur tambahan opsional, melainkan harus dibangun sebagai prinsip desain inti dari level protokol. Industri harus memperlakukan keamanan sebagai disiplin harian yang berkelanjutan, bukan audit satu kali. Itu berarti membangun keamanan ke dalam seluruh siklus hidup: pengembangan, deployment, dan operasi — serta menerima bahwa lapisan manusia, budaya keamanan, kesadaran, dan pelatihan, sering kali menjadi garis pertahanan pertama dan terlemah.
Dengan total kerugian yang mendekati $17 miliar dan 40% di antaranya sebenarnya dapat dicegah melalui manajemen kunci yang lebih baik, industri kripto menghadapi momen refleksi penting. Regulasi yang semakin ketat seperti MiCA di Eropa juga akan mendorong standar keamanan yang lebih tinggi bagi para penyedia layanan aset kripto. Pesannya jelas: teknologi blockchain sendiri sudah cukup aman — kini saatnya manusia dan proses di sekitarnya menyusul.
