Peretas Korea Utara mencuri 2,02 miliar dolar AS pada tahun 2025, siklus pencucian uang selama 45 hari mengungkap pola operasinya

Tahun 2025, industri kripto menghadapi ancaman yang belum pernah terjadi sebelumnya. Menurut laporan tahunan serangan hacker dari perusahaan analisis keamanan blockchain Chainalysis, meskipun serangan yang diketahui yang dilakukan oleh kelompok hacker Korea Utara menurun drastis sebesar 74%, skala perampokan dana justru mencapai rekor tertinggi dalam sejarah. Pola serangan “sedikit tapi tajam” ini tersembunyi di balik siklus operasi yang jelas—dengan waktu rata-rata sekitar 45 hari dari pencurian hingga pencucian uang, siklus waktu ini menjadi petunjuk kunci dalam mengungkap aliran dana Korea Utara.

Industri kripto kehilangan 3,4 miliar dolar AS pada tahun 2025, skala serangan ekstrem mencetak rekor

Selama periode Januari hingga Desember 2025, industri kripto mengalami kerugian pencurian lebih dari 3,4 miliar dolar AS. Di mana, satu kejadian tunggal memberikan dampak yang belum pernah terjadi sebelumnya—tiga serangan hacker terbesar menyumbang 69% dari total kerugian. Yang paling mengejutkan, serangan terhadap bursa Bybit pada bulan Februari saja menyebabkan kerugian sebesar 1,5 miliar dolar AS, yang merupakan proporsi absolut dari dana yang dicuri bulan tersebut.

Sumber dana yang dicuri ini menunjukkan karakteristik baru. Kasus pencurian dompet pribadi meningkat pesat menjadi 158.000 kasus (mencapai rekor tertinggi sejak 2022), tetapi karena skala besar dari kejadian Bybit, proporsi pencurian dompet pribadi dalam total kerugian justru menurun. Pada saat yang sama, serangan terhadap layanan terpusat menjadi semakin destruktif—meskipun insiden semacam ini tidak sering terjadi, serangan terhadap layanan terpusat pada kuartal pertama 2025 menyebabkan 88% dari total kerugian kuartal tersebut.

Data yang paling mengkhawatirkan adalah: perbedaan skala terbesar dari serangan hacker dan median dari semua kejadian pertama kali melewati ambang 1000 kali lipat. Dengan kata lain, pencurian terbesar dalam satu serangan adalah 1000 kali lipat dari kejadian biasa, dan perbedaan skala ekstrem ini bahkan melebihi rasio puncak pasar bullish tahun 2021.

Korea Utara secara mandiri menyumbang 76%, penurunan serangan yang diketahui namun pencurian mencapai rekor tinggi

Di balik semua ini, kelompok hacker Korea Utara tetap menjadi ancaman terbesar bagi industri kripto. Negara ini mencuri setidaknya 2,02 miliar dolar AS dalam bentuk kripto pada tahun 2025, meningkat 51% dari 1,339 miliar dolar AS tahun 2024, dan mencatat rekor tertinggi yang pernah ada. Sejak 2022, kelompok hacker Korea Utara telah mencuri total dana kripto sebesar 6,75 miliar dolar AS.

Yang membingungkan, jumlah pencurian tertinggi dalam sejarah ini dicapai di tengah penurunan besar dalam serangan yang diketahui. Serangan yang dilakukan oleh hacker Korea Utara menyumbang 76% dari semua insiden intrusi (rekor tertinggi), tetapi frekuensi serangan per kejadian justru menurun. Ini menunjukkan bahwa strategi serangan Korea Utara telah mengalami perubahan mendasar—mereka beralih ke prioritas kualitas daripada kuantitas.

Hacker Korea Utara telah mengembangkan berbagai metode infiltrasi berlapis. Awalnya, mereka menyusupkan staf IT ke dalam layanan kripto untuk mendapatkan akses istimewa. Namun, dalam beberapa tahun terakhir, metode ini digantikan oleh serangan rekayasa sosial yang lebih canggih. Mereka menyamar sebagai perekrut dari perusahaan Web3 dan AI terkenal, merancang proses rekrutmen palsu secara cermat, dan dengan dalih “penyaringan teknis” menipu korban untuk mendapatkan kredensial login, kode sumber, bahkan akses VPN atau Single Sign-On (SSO).

Di tingkat eksekutif, hacker Korea Utara menggunakan metode yang lebih tersembunyi—mengaku sebagai investor strategis atau pihak yang akan mengakuisisi, melalui presentasi investasi dan due diligence palsu untuk menyelidiki sistem sensitif dan infrastruktur bernilai tinggi. Strategi penargetan yang sangat tepat ini menjelaskan mengapa mereka mampu melakukan pencurian yang lebih besar dengan lebih sedikit serangan—target mereka adalah layanan besar dan titik kunci penting.

Mengurai operasi pencucian uang Korea Utara: strategi “pembagian file” khusus dan siklus pencucian uang 45 hari

Berbeda dari pelaku kejahatan siber lainnya, hacker Korea Utara memiliki pola pencucian dana yang unik dan terstruktur. Aktivitas pencucian uang mereka menunjukkan ciri khas “pembagian file” yang jelas—lebih dari 60% volume transaksi terkonsentrasi di bawah 50.000 dolar AS, berbeda dengan pola hacker lain yang membagi 60% dana dalam rentang 1 juta hingga 10 juta dolar AS.

Hacker Korea Utara juga menunjukkan preferensi yang jelas dalam memilih layanan pencucian uang. Mereka sangat bergantung pada transfer dana berbahasa Mandarin dan layanan jaminan (355% hingga lebih dari 1000% lebih tinggi dibandingkan hacker lain), menunjukkan adanya hubungan erat dengan jaringan dana ilegal di Asia Pasifik. Selanjutnya, mereka sangat bergantung pada layanan jembatan lintas rantai (97% lebih tinggi) untuk memindahkan aset antar blockchain guna meningkatkan kesulitan pelacakan, dan sering menggunakan layanan mixing (100% lebih tinggi) untuk menyembunyikan aliran dana. Penggunaan alat layanan profesional seperti Huione juga meningkat 356%.

Yang menarik, hacker Korea Utara justru menghindari penggunaan protokol pinjaman (kurang dari 80% dibandingkan hacker lain), bursa tanpa KYC (kurang dari 75%), dan platform peer-to-peer (kurang dari 64%). Pola ini menunjukkan bahwa operasi mereka dikendalikan oleh batasan berbeda dari pelaku kejahatan siber biasa—mereka perlu berkoordinasi dengan perantara tertentu, sehingga jalur operasinya relatif tetap.

Dari data monitoring selama 2022-2025, aliran dana setelah pencurian besar-besaran mengikuti siklus yang sangat terstruktur, dengan seluruh proses biasanya memakan waktu sekitar 45 hari. Siklus pencucian uang ini terbagi menjadi tiga tahap yang jelas:

Tahap pertama: Segregasi Darurat (Hari 0-5) — Dalam beberapa hari pertama setelah pencurian, transaksi yang tidak biasa diamati secara aktif. Protokol DeFi menjadi jalur utama dana yang dicuri mengalir, dengan volume transaksi meningkat 370%; volume transaksi layanan mixing juga meningkat cepat sebesar 135-150%. Tahap ini bertujuan untuk memutus hubungan dana yang dicuri dengan sumber asalnya secara cepat.

Tahap kedua: Fusi Awal (Hari 6-10) — Setelah minggu kedua, dana mulai mengalir ke layanan yang membantu integrasi ke dalam ekosistem yang lebih luas. Bursa yang tidak memiliki batas KYC dan bursa terpusat (CEX) mulai menerima aliran dana (bertambah 37% dan 32%), layanan mixing gelombang kedua terus beroperasi, dan jembatan lintas rantai seperti XMRt membantu mendistribusikan dana di berbagai rantai (meningkat 141%). Ini adalah periode penting dalam peralihan dana menuju jalur keluar akhir.

Tahap ketiga: Fusi Ekor Panjang (Hari 20-45) — Tahap terakhir menunjukkan kecenderungan yang lebih besar terhadap layanan yang dapat menukarkan dana menjadi fiat secara langsung. Penggunaan bursa tanpa KYC meningkat 82%, layanan jaminan meningkat 87%, pertukaran instan meningkat 61%, dan platform berbahasa Mandarin seperti HuiWang meningkat 45% sebagai titik akhir penukaran. Platform di yurisdiksi hukum yang kurang ketat secara regulasi juga meningkat 33%, menyelesaikan siklus pencucian uang secara lengkap.

Rata-rata siklus 45 hari ini menjadi informasi berharga bagi penegak hukum dan tim kepatuhan. Hacker Korea Utara cenderung mengikuti jadwal ini, yang mungkin mencerminkan keterbatasan mereka dalam mengakses jalur infrastruktur keuangan dan kebutuhan koordinasi dengan perantara tertentu. Meskipun sebagian dana yang dicuri masuk ke masa dormansi selama berbulan-bulan atau bertahun-tahun, pola siklus ini aktif saat pencucian uang dilakukan secara agresif, memberikan jendela waktu yang berharga untuk pelacakan.

Kerentanan dompet pribadi: 158.000 pencurian dan risiko ekosistem di baliknya

Pada tahun 2025, kejadian pencurian dompet pribadi meningkat menjadi 158.000 kasus, hampir tiga kali lipat dari 54.000 kasus pada 2022. Jumlah korban meningkat dari 40.000 orang pada 2022 menjadi setidaknya 80.000 orang pada 2025. Gelombang serangan besar-besaran ini sangat terkait dengan adopsi luas cryptocurrency. Sebagai contoh, di Solana—yang terkenal dengan tingkat aktivitas dompet pribadi—terdapat sekitar 26.500 korban.

Namun, yang sedikit menghibur, meskipun jumlah kejadian dan korban meningkat pesat, total dana yang dicuri dari korban pribadi pada 2025 menurun dari puncaknya 1,5 miliar dolar AS pada 2024 menjadi 713 juta dolar AS. Ini menunjukkan bahwa pelaku serangan menyebar luas, tetapi “umpan ikan” per korban menjadi lebih kecil—mereka menargetkan lebih banyak pengguna, tetapi kerugian per korban berkurang.

Risiko kerentanan di berbagai blockchain tidak merata. Menghitung berdasarkan tingkat pencurian per 100.000 dompet aktif, Ethereum dan TRON memiliki tingkat pencurian tertinggi, terutama TRON meskipun basis penggunanya relatif kecil, tingkat pencuriannya sangat tinggi. Sebaliknya, Base dan Solana, meskipun memiliki basis pengguna besar, menunjukkan tingkat kerentanan yang lebih rendah. Perbedaan ini menunjukkan bahwa selain faktor arsitektur teknis, karakteristik pengguna, ekosistem aplikasi populer, dan infrastruktur kejahatan lokal turut mempengaruhi tingkat pencurian.

Reflow dana DeFi dan peningkatan keamanan, terjadi pembalikan tren pada 2025

Data keamanan di bidang DeFi tahun 2025 menunjukkan fenomena yang mencolok dan kontras dengan tren historis.

Dari empat tahun terakhir, terbagi menjadi tiga fase yang sangat berbeda: periode ekspansi 2020-2021, di mana nilai total terkunci (TVL) dan kerugian akibat serangan hacker meningkat secara bersamaan; periode stagnasi 2022-2023, di mana kedua indikator menurun secara bersamaan; dan periode baru 2024-2025, di mana terjadi divergensi—TVL telah pulih secara signifikan dari titik terendah 2023, tetapi kerugian akibat serangan hacker tetap rendah secara mengejutkan.

Mengikuti logika perampok bank Willie Sutton, “dia merampok bank karena di sana ada uang”. Secara intuitif, kenaikan TVL DeFi seharusnya meningkatkan kerugian akibat serangan hacker. Tetapi yang terjadi di 2024-2025 adalah kebalikannya—miliar dolar kembali mengalir ke protokol ini, sementara kerugian akibat serangan hacker tetap rendah.

Fenomena ini dapat dijelaskan oleh dua faktor: pertama, peningkatan keamanan nyata—meskipun TVL meningkat, tingkat serangan hacker terus menurun, menunjukkan bahwa protokol DeFi mengimplementasikan langkah-langkah keamanan yang lebih efektif dibandingkan masa awal; kedua, pergeseran target serangan—peningkatan pencurian dompet pribadi dan serangan layanan terpusat menunjukkan bahwa perhatian pelaku kejahatan siber beralih dari protokol DeFi ke target yang lebih mudah.

Keberhasilan protokol Venus dalam menyelamatkan diri: menghentikan kerugian 13 juta dolar dalam 20 menit

Insiden Venus Protocol pada September 2025 secara hidup menggambarkan bagaimana mekanisme pertahanan keamanan yang diperbaiki dapat membalikkan keadaan. Penyerang mendapatkan akses sistem melalui peretasan klien Zoom, lalu memancing satu pengguna untuk memberikan izin delegasi ke akun senilai 13 juta dolar AS. Ini seharusnya menjadi bencana.

Namun, Venus secara kebetulan telah mengaktifkan platform pemantauan keamanan Hexagate satu bulan sebelumnya. Platform ini mendeteksi aktivitas mencurigakan 18 jam sebelum serangan terjadi, dan langsung mengirim peringatan saat transaksi berbahaya dieksekusi. Dalam waktu 20 menit, Venus menangguhkan operasi protokol, sepenuhnya menghentikan aliran dana.

Respon selanjutnya lebih cepat: dalam 5 jam, pemeriksaan keamanan selesai dan sebagian fungsi dipulihkan; dalam 7 jam, pengosongan paksa dompet penyerang dilakukan; dalam 12 jam, seluruh dana yang dicuri berhasil dikembalikan dan layanan sepenuhnya dipulihkan. Yang paling penting, Venus melalui voting tata kelola membekukan aset senilai 3 juta dolar yang masih dikendalikan penyerang, sehingga penyerang tidak mendapatkan keuntungan dan justru kehilangan dana.

Kasus ini menjadi simbol evolusi nyata infrastruktur keamanan DeFi. Pemantauan aktif, kemampuan merespons cepat, dan mekanisme tata kelola yang efektif membuat ekosistem menjadi lebih fleksibel dan tangguh. Meski serangan masih terjadi, kemampuan untuk mendeteksi, merespons, bahkan membalikkan serangan telah mengalami perubahan fundamental—dari “serangan yang berhasil biasanya berarti kerugian permanen” menjadi “serangan dapat dihentikan dan bahkan dibalik secara langsung”.

Ancaman dan siklus respons masa depan

Data tahun 2025 menggambarkan evolusi kompleks Korea Utara sebagai ancaman utama industri kripto. Frekuensi serangan menurun, tetapi tingkat destruktivitasnya meningkat secara signifikan, menunjukkan metode yang semakin canggih dan lebih sabar. Dampak dari insiden Bybit terhadap siklus kegiatan tahunan menunjukkan bahwa ketika Korea Utara berhasil melakukan pencurian besar, mereka menurunkan tempo operasi dan berfokus pada siklus jangka panjang pencucian dana.

Bagi industri kripto, tren evolusi ini menuntut peningkatan kewaspadaan terhadap target bernilai tinggi dan kemampuan yang lebih besar dalam mengenali pola pencucian uang tertentu dari Korea Utara. Preferensi mereka terhadap jenis layanan tertentu dan jumlah transfer yang terus berlanjut memberikan peluang deteksi, dan karakteristik ini membedakan mereka dari pelaku kejahatan siber lain—membantu penyelidik mengidentifikasi jejak aktivitas mereka di rantai.

Pertumbuhan rekor Korea Utara pada 2025—dengan pencurian yang diketahui menurun 74% namun pencurian tertinggi tercapai—menunjukkan bahwa apa yang terlihat saat ini mungkin hanyalah puncak gunung es dari aktivitas mereka. Tantangan utama di 2026 adalah: bagaimana mendeteksi dan menghentikan serangan skala besar seperti Bybit sebelum mereka terjadi lagi. Memahami pola siklus pencucian uang selama 45 hari ini menjadi kunci utama bagi aparat penegak hukum dan tim keamanan.