Pengantar

Pada malam 21 Februari 2025, bursa kripto global Bybit mengalami peretasan terbesar dalam sejarah industri kripto. Selama peretasan, lebih dari 500.000 ETH, stETH, dan mETH disedot dari dompet Bybit, dengan kerugian total melebihi $1,46 miliar berdasarkan harga pasar hari itu. Aset yang dicuri segera dipindahkan ke alamat dompet yang tidak teridentifikasi. Serangan ini melampaui peretasan Poly Network 2021, yang melihat $611 juta dicuri, menjadikannya pencurian kripto terbesar.

Sumber: https://www.ic3.gov/PSA/2025/PSA250226

Sumber: https://x.com/benbybit/status/1894768736084885929

Didirikan pada tahun 2018, Bybit adalah salah satu bursa kripto terbesar di dunia, dengan volume perdagangan harian rata-rata yang melebihi $36 miliar. Menurut CoinMarketCap, Bybit memiliki sekitar $16,2 miliar aset sebelum diretas, yang berarti Ethereum yang dicuri menyumbang sekitar 9% dari total kepemilikannya.

Analis on-chain ZachXBT memberikan bukti yang menunjukkan bahwa peretasan itu kemungkinan dilakukan oleh kelompok peretasan Lazarus Group yang terkait dengan Korea Utara. Dia menerima hadiah $ 30.000 untuk penyelidikannya terhadap kerentanan tersebut.

Sumber: https://www.chainabuse.com/laporan/b87c8824-8f5c-434a-a595-b7b916f641ad

Kronologi Insiden

Pembobolan

Para penyerang menggunakan antarmuka pengguna palsu (UI) untuk menyusup ke komputer karyawan Safe (penyedia dompet), dengan menargetkan bagian depan sistem Safe Bybit secara khusus. Dengan meniru antarmuka pengguna yang sah, para peretas dapat meng kompromi dompet dingin multi-tanda tangan ETH Bybit. Para peretas dengan diam-diam mengubah konten transaksi selama proses transaksi yang tampaknya normal.

Karena para penandatangan percaya bahwa mereka sedang memberi otorisasi untuk transaksi yang sah, mereka gagal mendeteksi bahwa transaksi tersebut telah diganti dengan kontrak jahat. Hal ini menyebabkan transfer tidak sah senilai $1.46 miliar ETH ke alamat yang tidak dikenal yang dikendalikan oleh para penyerang.

Alur Serangan, Metode, dan Pertahanan:

Pergerakan Dana dan Pencucian Uang

Antara pukul 3:00 sore dan 4:30 sore pada 21 Februari 2025, para peretas menyelesaikan sebagian besar transfer dana. Setelah serangan, hanya sekitar $3 juta nilai ETH tersisa di dompet utama. ETH yang dicuri dibagi menjadi 40 transaksi masing-masing 10.000 ETH, sementara stETH dan mETH didistribusikan ke beberapa dompet berbeda untuk menyamarkan jejak dana. Selanjutnya, para peretas menggunakan pertukaran terdesentralisasi (DEXs) untuk memecah dan mencuci dana lebih lanjut, dengan tujuan menghapus semua jejak.

Sumber: https://www.lazarusbounty.com/id?utm_source=Sailthru&utm_medium=email&utm_campaign=the%20node%20feb%2025%202025&utm_term=The%20Node

Dampak Pasar

Bahkan sebelum Bybit secara resmi mengonfirmasi peretasan, harga BTC dan ETH mulai turun. Dalam hitungan jam setelah pengumuman, Bitcoin turun 3%, sementara Ethereum turun 7%.

Pada akhir pekan, ETH melonjak kembali ke $2.800 menyusul pembelian kembali yang diinisiasi oleh Bybit, namun turun lagi pada hari Senin. Hacker kini menjadi pemegang ETH terbesar ke-14, dan konsentrasi dana seperti itu mungkin menimbulkan tekanan turun pada prospek pasar Ethereum.

Sumber: https://x.com/Bybit_Official/status/1893585578706227545

Kontroversi Mengenai Protokol Cross-Chain

Grup Lazarus sering menggunakan protokol pertukaran lintas rantai seperti THORChain untuk mengonversi aset yang dicuri menjadi Bitcoin. THORChain memfasilitasi pertukaran langsung antara blockchain yang berbeda, seperti ETH ke BTC, tanpa melalui pertukaran terpusat.

Menurut Penjelajah THORChain, volume 24 jam protokol pada 5 Maret mencapai $93 juta. Para pengembang di balik protokol tersebut telah menghadapi kritik keras karena diduga memungkinkan transaksi ilegal oleh peretas Korea Utara.

Sumber: https://thorchain.net/dashboard

Apa Itu Kelompok Lazarus?

Kelompok Lazarus adalah salah satu organisasi peretasan paling aktif dan terkenal secara global. Nama “Lazarus” berasal dari tokoh dalam kitab suci yang dibangkitkan kembali, melambangkan ketahanan dan kebangkitan.

Juga dikenal sebagai 'Guardians', 'Peace', atau 'Tim Whois', keanggotaan dan struktur internal kelompok tersebut sebagian besar tidak diketahui. Namun, banyak yang percaya bahwa kelompok tersebut beroperasi di bawah kendali langsung pemerintah Korea Utara. Awalnya berfungsi sebagai geng kejahatan cyber, Lazarus telah berkembang seiring waktu karena skala dan kompleksitas serangannya. Sekarang dianggap sebagai kelompok Ancaman Persisten Lanjutan (APT).

Berbagai lembaga merujuk kepada Lazarus dengan berbagai nama:

• Departemen Keamanan Dalam Negeri AS menyebutnya sebagai “Hidden Cobra”
• Microsoft merujuk padanya sebagai “ZINC” atau “Diamond Sleet

Menurut mantan petugas intelijen Korea Utara Kim Kuk-song, kelompok ini dikenal secara internal di Korea Utara sebagai Kantor 414 Liaison.

Departemen Kehakiman AS telah menyatakan bahwa Grup Lazarus beroperasi sebagai perpanjangan negara Korea Utara. Aktivitasnya melebihi gangguan dunia maya dan mencakup upaya untuk menghindari sanksi internasional dan menghasilkan pendapatan ilegal. Dengan melancarkan serangan dunia maya berbiaya rendah namun berdampak tinggi, Korea Utara dapat mendeploy tim kecil peretas yang mengancam sistem keuangan global dan infrastruktur kritis, terutama di Korea Selatan dan negara-negara Barat.

Sumber: https://id.wikipedia.org/wiki/Lazarus_Group

Struktur Organisasi

Kelompok Lazarus terutama terdiri dari dua cabang:

1. BlueNorOff

Juga dikenal sebagai APT38, Stardust Chollima, atau BeagleBoyz, BlueNorOff berfokus pada kejahatan cyber keuangan, seringkali melibatkan transaksi SWIFT yang curang untuk memindahkan dana secara ilegal. Kelompok ini telah menargetkan lembaga keuangan di berbagai negara, dengan dana yang dicuri diyakini mendukung program rudal dan senjata nuklir Korea Utara.

Operasi paling terkenal mereka terjadi pada tahun 2016, ketika mereka mencoba untuk mencuri hampir $1 miliar melalui jaringan SWIFT. Kesalahan ejaan dalam salah satu instruksi mencegah Bank Federal Reserve New York untuk menyelesaikan sebagian dari transfer. BlueNorOff menggunakan taktik seperti phishing, pintu belakang, eksploitasi, dan malware (mis., DarkComet, WannaCry). Mereka juga bekerja sama dengan kelompok-kelompok cybercriminal lain untuk memperluas saluran uang ilegal, meningkatkan risiko keamanan cyber global.

2. Andariel

Juga dikenal sebagai 'Silent Chollima,' 'Dark Seoul,' 'Rifle,' dan 'Wassonite,' Andariel khusus dalam serangan dunia maya yang menargetkan Korea Selatan, dan dikenal karena operasinya yang bersifat rahasia. Menurut laporan tahun 2020 dari Angkatan Darat AS, kelompok ini terdiri dari sekitar 1.600 anggota yang bertanggung jawab untuk rekognisi dunia maya, penilaian kerentanan, dan pemetaan infrastruktur jaringan musuh untuk persiapan serangan masa depan.

Selain menargetkan Korea Selatan, Andariel juga telah meluncurkan serangan terhadap lembaga pemerintah, infrastruktur kritis, dan perusahaan di negara lain.

Sumber: https://home.treasury.gov/news/press-releases/sm774

Operasi Terdahulu

Selama bertahun-tahun, Lazarus Group telah meluncurkan serangkaian serangan siber di seluruh dunia. Dimulai dengan kampanye DDoS awal seperti Operation Troy (2009) dan Ten Days of Rain (2011), mereka telah berkembang menjadi operasi yang lebih kompleks yang melibatkan:

• Penghapusan data (mis., Operasi Dark Seoul, 2013)
• Pencurian data (misalnya, Sony Pictures Hack, 2014)
• Pencurian keuangan (mulai tahun 2015)

Sejak tahun 2017, kelompok tersebut telah secara intensif menargetkan sektor kripto, meluncurkan serangan terhadap:

• Bursa seperti Bithumb, Youbit, Atomic Wallet, dan WazirX
• Jembatan lintas-rantai seperti Horizon Bridge
• Permainan blockchain seperti Axie Infinity

Kampanye mereka telah mencuri miliaran dolar aset digital.

Dalam beberapa tahun terakhir, Lazarus terus berkembang ke sektor-sektor baru, termasuk kesehatan, keamanan cyber, dan perjudian online. Hanya pada tahun 2023, kelompok ini menyebabkan kerugian sekitar $300 juta, atau sekitar 17,6% dari total kerugian akibat peretasan global.

Sumber: https://x.com/Cointelegraph/status/1894180646584516772

Bagaimana Platform Merespons Serangan Hacker

Bursa kripto umumnya mengadopsi strategi keamanan komprehensif berdasarkan empat pilar kunci: pencegahan, deteksi, respons insiden, dan pemulihan.

1. Langkah Pencegahan (Pertahanan Proaktif)

• Perkuat Arsitektur Keamanan: Terapkan pemisahan dompet dingin dan panas, simpan sebagian besar aset di dompet dingin offline, dan gunakan mekanisme otorisasi multi-tanda tangan (multi-sig).
• Kontrol Akses yang Ketat: Batasi akses karyawan ke data sensitif dan terapkan model keamanan Zero Trust untuk mengurangi ancaman dari dalam atau sistem internal yang terpengaruh.
• Perkuat Keamanan Kontrak Pintar: Lakukan audit kontrak pintar secara menyeluruh untuk menghindari kerentanan seperti serangan reentrancy dan overflow integer.
• Otentikasi Multi-Faktor (MFA): Meminta semua administrator dan pengguna untuk mengaktifkan 2FA (Otentikasi Dua Faktor) untuk mengurangi risiko pengambilalihan akun.
• Proteksi DDoS: Gunakan Jaringan Pengiriman Konten (CDN) dan proxy terbalik untuk melindungi dari serangan Distributed Denial-of-Service (DDoS), memastikan ketersediaan platform.

2. Deteksi Real-Time (Identifikasi Ancaman Cepat)

• Pemantauan Anomali: Manfaatkan kecerdasan buatan dan pembelajaran mesin untuk mendeteksi pola transaksi yang mencurigakan dan menandai penarikan atau transfer besar yang tidak biasa.
• Analisis On-Chain: Berkolaborasi dengan perusahaan intelijen blockchain seperti Chainalysis dan Elliptic untuk memantau alamat yang masuk daftar hitam dan memblokir aliran dana ilegal.
• Log Audit: Pertahankan log komprehensif dari semua operasi sensitif (misalnya, penarikan, perubahan izin) dan lakukan audit waktu nyata.

Sumber: demo.chainalysis.com

3. Protokol Respons Insiden (Protokol Pasca Serangan)

• Pembekuan Akun Segera: Setelah mendeteksi penarikan yang mencurigakan, segera hentikan akun yang terpengaruh dan bekukan transfer dana untuk mencegah kerugian lebih lanjut.
• Beri Tahu Mitra: Segera beri tahu bursa lain, perusahaan keamanan blockchain, dan lembaga penegak hukum untuk melacak aset yang dicuri.
• Perbaiki Kerentanan: Segera analisis vektor serangan, tutup kerentanan, dan cegah kejadian kembali.
• Komunikasi Pengguna Transparan: Segera terbitkan pengumuman untuk memberitahu pengguna tentang insiden dan langkah-langkah perbaikan.

4. Pemulihan Aset (Mengurangi Kerugian)

• Kerjasama Penegakan Hukum: Bekerja sama dengan lembaga internasional seperti FBI, Interpol, dan perusahaan pelacakan blockchain untuk memulihkan dana yang dicuri.
• Kompensasi Asuransi: Beberapa platform menjaga kebijakan asuransi peretasan untuk mengganti pengguna yang terkena dampak.

• Dana Darurat: Bentuk dana darurat seperti SAFU (Secure Asset Fund for Users) dari Gate.io untuk melindungi aset pengguna selama kejadian kritis.

  Pada tanggal 5 Maret 2025, dana cadangan Gate.io mencapai $10.328 miliar, menegaskan kekuatan keuangan dan kemampuan perlindungan penggunaannya.

Sumber: www.gate.io

Sumber: https://www.gate.io/safu-user-assets-security-fund

Tonggak utama keamanan cyber platform kripto terletak pada prinsip:

"Pencegahan pertama, deteksi tepat waktu, respons efisien, dan pemulihan yang kuat."

Platform dapat memaksimalkan perlindungan aset pengguna dengan menggabungkan arsitektur keamanan yang dioptimalkan, analisis on-chain, dan mekanisme tanggap cepat.

Bagaimana Pengguna Dapat Melindungi Aset Kripto Mereka

Kripto sepenuhnya digital, dan sekali hilang atau dicuri, pemulihan biasanya tidak mungkin dilakukan melalui cara-cara tradisional (misalnya, bank). Oleh karena itu, mengambil langkah-langkah keamanan yang ketat sangat penting. Berikut adalah strategi inti untuk melindungi aset kripto Anda:

1. Pilih Metode Penyimpanan yang Aman

Penyimpanan Dingin:

• Gunakan dompet hardware (seperti Ledger, Trezor) atau dompet kertas untuk menyimpan sebagian besar aset secara offline, jauh dari serangan berbasis internet.
• Catatan: Perlakukan dompet hardware dengan hati-hati untuk mencegah kerusakan fisik atau kehilangan. Selalu verifikasi transaksi dengan cermat sebelum menandatangani—jangan pernah mengonfirmasi secara buta.

Dompet Panas:

• Hanya digunakan untuk menyimpan jumlah kecil yang dimaksudkan untuk transaksi harian. Hindari menyimpan jumlah besar.
• Pilih dompet terpercaya (misalnya, MetaMask, Trust Wallet) dan tetap perbarui perangkat lunak secara teratur.

Sumber: https://metamask.io/

2. Lindungi Kunci Pribadi dan Frasa Benih Anda

• Jangan pernah membagikan: Kunci pribadi atau frasa biji Anda adalah satu-satunya kredensial untuk mengakses aset Anda—jangan pernah membagikannya kepada siapapun.
• Cadangan Aman: Tulis frasa benih Anda dan simpan di lokasi yang tahan api, tahan air (misalnya, brankas). Hindari menyimpannya di perangkat yang terhubung ke internet.
• Penyimpanan Terpisah: Pertimbangkan untuk membagi frasa biji menjadi bagian dan menyimpan masing-masing di lokasi berbeda untuk meningkatkan keamanan.

3. Keamanan Akun dan Pertukaran

• Aktifkan Otentikasi Dua Faktor (2FA): Gunakan aplikasi seperti Google Authenticator daripada 2FA berbasis SMS, yang rentan terhadap peretasan. \
  Google Authenticator di Play Store
• Kata Sandi Kuat: Gunakan kata sandi yang panjangnya minimal 12 karakter, termasuk huruf besar, huruf kecil, angka, dan simbol. Ubah kata sandi secara teratur.
• Diversifikasi Penyimpanan: Jangan menyimpan semua kripto Anda di satu dompet atau bursa.
• Pilih Bursa Aman: Pilih platform dengan fitur seperti perlindungan DDoS dan penyimpanan dingin, dan segera tarik dana besar ke dompet pribadi.
• Nonaktifkan Akses API yang Tidak Perlu: Mencegah pencurian melalui eksploitasi API.
• Gunakan Kunci Akses: Autentikasi dengan persetujuan berbasis perangkat secara aman daripada dengan kata sandi.

Sumber: play.google.com

4. Mencegah Serangan Siber

• Hati-hati terhadap Phishing: Selalu periksa ulang URL situs web, dan hindari mengklik email, teks, atau tautan media sosial yang tidak dikenal.
• Perangkat Khusus: Pertimbangkan untuk menggunakan perangkat terpisah khusus untuk transaksi kripto untuk menghindari paparan malware atau situs web berisiko.
• Verifikasi Alamat Transfer: Periksa alamat sebelum mengirim dana untuk menghindari peretasan clipboard. \
  Sumber: Kratikal tentang Penculikan Clipboard
• Hindari Wi-Fi Publik: Gunakan VPN dan hindari melakukan transaksi melalui jaringan yang tidak aman.

Sumber: https://kratikal.com/blog/clipboard-hijacking-can-turn-your-copied-text-into-a-threat/

5. Keamanan Kontrak Pintar dan DeFi

• Hanya Gunakan Kontrak Pintar Terpercaya: Hanya berinteraksi dengan kontrak yang telah diaudit oleh perusahaan keamanan terkemuka.
  Auditor Blockchain Teratas oleh Alkimia Uji dengan Jumlah Kecil: Mulailah dengan transaksi uji kecil sebelum menginvestasikan dana yang signifikan.
• Hindari Penipuan Pendapatan Tinggi: Berhati-hatilah terhadap proyek DeFi, NFT, atau pertanian hasil yang menjanjikan tingkat pengembalian yang tidak wajar.

Sumber: https://www.alchemy.com/best/perusahaan-audit-blockchain

6. Strategi Keamanan Jangka Panjang dan Perencanaan Darurat

• Gunakan Dompet Multisig: Memerlukan persetujuan ganda untuk mengotorisasi transaksi—ideal untuk mengelola aset bernilai tinggi.
• Audit Reguler: Secara berkala tinjau saldo aset dan riwayat transaksi untuk mencari anomali apa pun.
• Perencanaan Hukum & Warisan: Sertakan kepemilikan kripto dalam rencana warisan atau dokumen trust Anda untuk menghindari kerugian yang tidak dapat dikembalikan akibat kehilangan kunci.
• Tetap Rendah Profil: Jangan memamerkan kekayaan kripto Anda di media sosial atau forum publik untuk menghindari menjadi target hacker.

Sumber: coindesk.com

Kesimpulan

Insiden ini tidak hanya menyebabkan kerugian finansial yang signifikan bagi Bybit tetapi juga menimbulkan kekhawatiran yang lebih luas tentang kepercayaan dan keamanan dalam industri kripto. Ke depan, pertukaran, tim proyek, dan pengguna harus menempatkan lebih banyak penekanan pada praktik keamanan yang kokoh. Area-area kunci yang harus difokuskan termasuk manajemen kunci privat, implementasi dompet multi-tanda tangan, dan audit kontrak pintar yang teliti.

Saat ancaman cyber menjadi lebih canggih, badan regulasi global diharapkan untuk memperkenalkan persyaratan keamanan yang lebih ketat. Financial Action Task Force (FATF), misalnya, sedang memajukan proposal anti pencucian uang baru yang menargetkan protokol lintas rantai untuk meningkatkan pengawasan platform terdesentralisasi dan interaksi multi-rantai. Secara paralel, lembaga seperti SEC AS dan regulator Eropa mungkin meningkatkan pengawasan standar keamanan pertukaran dan mendukung langkah-langkah kepatuhan KYC dan AML yang lebih ketat.

Bagi investor individu, melindungi aset digital memerlukan pendekatan proaktif. Ini termasuk memilih platform dengan catatan keamanan yang kuat, mendiversifikasi metode penyimpanan aset, dan tetap informasi tentang risiko yang muncul. Saat ekosistem kripto terus berkembang, keamanan harus tetap menjadi prioritas inti untuk memastikan pertumbuhan yang berkelanjutan dan kepercayaan pengguna.