Laporan Tahunan Keamanan Web3 2025: Serangan Rantai Pasokan Menjadi Ancaman Terbesar

作者：Beosin

Pendahuluan

Laporan penelitian ini didirikan oleh Aliansi Keamanan Blockchain, dibuat bersama oleh anggota aliansi Beosin, Footprint Analytics, bertujuan untuk secara komprehensif mengeksplorasi situasi keamanan blockchain global tahun 2025. Melalui analisis dan evaluasi terhadap kondisi keamanan blockchain di seluruh dunia, laporan ini akan mengungkap tantangan dan ancaman keamanan yang dihadapi saat ini, serta menyediakan solusi dan praktik terbaik. Keamanan dan regulasi blockchain adalah isu kunci dalam perkembangan era Web3. Melalui studi mendalam dan diskusi dalam laporan ini, kita dapat memahami dan mengatasi tantangan tersebut dengan lebih baik, untuk mendorong keamanan dan keberlanjutan teknologi blockchain.

1. Gambaran Umum Situasi Keamanan Web3 Blockchain Tahun 2025

Menurut pemantauan dari platform Alert di bawah perusahaan teknologi keamanan dan kepatuhan blockchain Beosin, kerugian total di bidang Web3 pada tahun 2025 akibat serangan hacker, penipuan phishing, dan Rug Pull dari proyek mencapai 3,375 miliar dolar AS. Total kejadian keamanan besar di blockchain sebanyak 313 kasus, termasuk 191 kasus serangan hacker dengan kerugian sekitar 3,187 miliar dolar AS; Rug Pull dari proyek sebanyak total kerugian sekitar 11,5 juta dolar AS; penipuan phishing sebanyak 113 kasus, dengan total kerugian sekitar 177 juta dolar AS.

Kerugian terbesar terjadi pada Q1 tahun 2025, sebagian besar berasal dari insiden hacker di Bybit. Kerugian akibat serangan hacker terus menurun setiap kuartal, namun meningkat secara signifikan dibandingkan tahun 2024, dengan kenaikan sebesar 77,85%; kerugian dari penipuan phishing dan Rug Pull dari proyek secara umum menurun secara signifikan dibandingkan tahun 2024, di mana kerugian phishing menurun sekitar 69,15%, dan Rug Pull menurun sekitar 92,21%.

Jenis proyek yang diserang pada tahun 2025 meliputi DeFi, CEX, blockchain publik, jembatan lintas rantai, NFT, platform perdagangan MemeCoin, dompet, browser, paket kode pihak ketiga, infrastruktur, robot MEV, dan lain-lain. DeFi tetap menjadi jenis proyek dengan frekuensi serangan tertinggi, sebanyak 91 serangan yang menyebabkan kerugian sekitar 620 juta dolar AS. CEX merupakan jenis proyek dengan total kerugian tertinggi, sebanyak 9 serangan yang menyebabkan kerugian sekitar 1,765 miliar dolar AS, mewakili 52,30% dari total kerugian.

Ethereum tetap menjadi blockchain dengan kerugian tertinggi, sebanyak 170 kejadian keamanan di Ethereum menyebabkan kerugian sekitar 2,254 miliar dolar AS, menyumbang 66,79% dari total kerugian tahun tersebut.

Dilihat dari metode serangan, insiden di Bybit disebabkan oleh serangan rantai pasokan yang menyebabkan kerugian sekitar 1,44 miliar dolar AS, mewakili 42,67% dari total kerugian, merupakan metode serangan dengan kerugian terbesar. Selain itu, eksploitasi kerentanan kontrak menjadi metode serangan yang paling umum, dari 191 kejadian serangan, 62 di antaranya berasal dari eksploitasi kerentanan kontrak, dengan proporsi mencapai 32,46%.

2. Sepuluh Kejadian Keamanan Terbesar Tahun 2025

Tiga kejadian keamanan dengan kerugian lebih dari satu miliar dolar terjadi pada tahun 2025: Bybit (14,4 miliar dolar), Cetus Protocol (2,24 miliar dolar), dan Balancer (1,16 miliar dolar). Berikutnya adalah Stream Finance (930 juta dolar), paus Bitcoin (910 juta dolar), Nobitex (900 juta dolar), Phemex (700 juta dolar), UPCX (700 juta dolar), pengguna Ethereum (500 juta dolar), Infini (495 juta dolar).

Berbeda dari tahun-tahun sebelumnya, dalam 10 besar kejadian keamanan tahun ini terdapat 2 insiden kerugian besar yang melibatkan pengguna individu, dengan penyebab kerugian berupa rekayasa sosial / serangan phishing. Meskipun jenis serangan ini bukan yang menyebabkan kerugian terbesar secara total, frekuensinya meningkat setiap tahun dan menjadi ancaman utama bagi pengguna individu.

3. Jenis Proyek yang Diserang

Bursa terpusat menjadi jenis proyek dengan kerugian tertinggi

Pada tahun 2025, jenis proyek dengan kerugian tertinggi adalah bursa terpusat, sebanyak 9 serangan yang menyebabkan kerugian sekitar 1,765 miliar dolar AS, mewakili 52,30% dari total kerugian. Bursa dengan kerugian terbesar adalah Bybit, dengan kerugian sekitar 1,44 miliar dolar AS. Kerugian besar lainnya berasal dari Nobitex (sekitar 90 juta dolar), Phemex (sekitar 70 juta dolar), BtcTurk (48 juta dolar), CoinDCX (44,2 juta dolar), SwissBorg (41,3 juta dolar), Upbit (36 juta dolar).

DeFi tetap menjadi jenis proyek dengan frekuensi serangan tertinggi, sebanyak 91 serangan yang menyebabkan kerugian sekitar 620 juta dolar AS, menempati posisi kedua dalam kerugian total. Di antaranya, Cetus Protocol mengalami pencurian sekitar 224 juta dolar, menyumbang 36,07% dari dana yang dicuri dari DeFi; Balancer mengalami kerugian sekitar 116 juta dolar. Proyek DeFi besar lainnya yang mengalami kerugian signifikan meliputi Infini (sekitar 49,5 juta dolar), GMX (sekitar 40 juta dolar), Abracadabra Finance (13 juta dolar), Cork Protocol (sekitar 12 juta dolar), Resupply (sekitar 9,6 juta dolar), zkLend (sekitar 9,5 juta dolar), Ionic (sekitar 8,8 juta dolar), Alex Protocol (sekitar 8,37 juta dolar).

4. Situasi Kerugian di Berbagai Rantai

Ethereum adalah rantai dengan kerugian tertinggi dan kejadian keamanan terbanyak

Seperti tahun-tahun sebelumnya, Ethereum tetap menjadi blockchain dengan kerugian tertinggi dan jumlah kejadian keamanan terbanyak. 170 kejadian di Ethereum menyebabkan kerugian sekitar 2,254 miliar dolar AS, menyumbang 66,79% dari total kerugian tahun tersebut.

Rantai dengan jumlah kejadian keamanan terbanyak kedua adalah BNB Chain, sebanyak 64 kejadian yang menyebabkan kerugian sekitar 8,983 juta dolar AS. BNB Chain memiliki banyak serangan di rantai, meskipun kerugiannya relatif kecil, namun baik jumlah kejadian maupun kerugian meningkat secara signifikan dibandingkan tahun 2024, dengan kenaikan sebesar 110,87%.

Base menempati posisi ketiga dalam jumlah kejadian keamanan, sebanyak 20 kejadian. Solana mengikuti dengan 19 kejadian.

5. Analisis Metode Serangan

Eksploitasi kerentanan kontrak adalah metode serangan yang paling umum

Dari 191 kejadian serangan, 62 di antaranya berasal dari eksploitasi kerentanan kontrak, dengan proporsi mencapai 32,46%, dan total kerugian sebesar 556 juta dolar AS, menjadikannya metode serangan terbesar kedua setelah serangan rantai pasokan di Bybit.

Jika dirinci berdasarkan kerentanan kontrak, kerentanan yang menyebabkan kerugian terbesar adalah: kerentanan logika bisnis, dengan total kerugian sebesar 464 juta dolar AS. Tiga kerentanan kontrak yang paling umum adalah: kerentanan logika bisnis (53 kali), kerentanan kontrol akses (7 kali), dan cacat algoritma (5 kali).

Kejadian kebocoran kunci pribadi tahun ini sebanyak 20 kali, dengan total kerugian sekitar 180 juta dolar AS, mengalami penurunan signifikan dibandingkan tahun lalu. Kesadaran perlindungan kunci pribadi dari bursa, proyek, dan pengguna meningkat.

6. Analisis Kasus Keamanan Tipikal

6.1 Analisis Kejadian Keamanan Cetus Protocol 2,24 Miliar Dolar

Ringkasan Kejadian

Pada 22 Mei 2025, DEX Cetus Protocol di ekosistem Sui diserang, kerentanannya berasal dari kesalahan implementasi operasi geser ke kiri pada kode pustaka sumber terbuka. Sebagai contoh, transaksi serangan (https://suivision.xyz/txblock/DVMG3B2kocLEnVMDuQzTYRgjwuuFSfciawPvXXheB3x?tab=Overview), langkah-langkah serangan yang disederhanakan adalah sebagai berikut:

1. Mengaktifkan pinjaman kilat: penyerang meminjam 10 juta haSUI melalui pinjaman kilat.

2. Membuat posisi likuiditas: membuka posisi likuiditas baru dengan rentang harga [300000, 300200].

3. Menambah likuiditas: hanya menggunakan 1 unit haSUI, menambah likuiditas, tetapi mendapatkan nilai likuiditas sebesar 10.365.647.984.364.446.732.462.244.378.333.008.

4. Menghapus likuiditas: segera menghapus beberapa transaksi likuiditas untuk menguras kolam likuiditas.

5. Membayar kembali pinjaman kilat: membayar kembali pinjaman kilat dan menyimpan sekitar 570 juta SUI sebagai keuntungan.

Analisis Kerentanan

Akar penyebab serangan ini adalah kesalahan implementasi fungsi get_delta_a yang menggunakan checked_shlw, yang menyebabkan pemeriksaan overflow gagal. Penyerang hanya membutuhkan sejumlah kecil token untuk menukar sejumlah besar aset di kolam likuiditas, sehingga merealisasikan serangan.

Seperti yang ditunjukkan gambar di bawah, checked_shlw digunakan untuk menentukan apakah pergeseran ke kiri u256 sebanyak 64 bit akan menyebabkan overflow. Input yang kurang dari 0xffffffffffffffff << 192 akan melewati pemeriksaan overflow, tetapi nilai input yang setelah digeser ke kiri 64 bit bisa melebihi nilai maksimum u256 (overflow), dan checked_shlw tetap akan mengembalikan false (tidak overflow). Akibatnya, perhitungan selanjutnya akan sangat meremehkan jumlah token yang dibutuhkan.

Selain itu, dalam Move, keamanan operasi bilangan bulat bertujuan untuk mencegah overflow dan underflow, karena overflow dan underflow dapat menyebabkan perilaku tak terduga atau celah keamanan. Secara spesifik: jika hasil penjumlahan dan perkalian terlalu besar untuk tipe integer, program akan berhenti. Jika pembagi nol, pembagian akan berhenti.

Sedangkan pergeseran ke kiri (<<) tidak akan berhenti saat overflow terjadi. Ini berarti, meskipun jumlah bit yang digeser melebihi kapasitas penyimpanan tipe integer, program tidak akan berhenti, yang dapat menyebabkan nilai salah atau perilaku tak terduga.

6.2 Analisis Kejadian Keamanan Balancer 1,16 Miliar Dolar

Pada 3 November 2025, protokol Balancer v2 diserang, termasuk fork protokolnya, menyebabkan kerugian sekitar 116 juta dolar AS di beberapa rantai. Sebagai contoh transaksi serangan di Ethereum: 0x6ed07db1a9fe5c0794d44cd36081d6a6df103fab868cdd75d581e3bd23bc9742

1. Penyerang memulai serangan dengan fungsi pertukaran massal, menggunakan BPT untuk menukar banyak token likuiditas dari kolam, sehingga cadangan token likuiditas menjadi sangat rendah.

2. Kemudian penyerang melakukan pertukaran token likuiditas (osETH/WETH).

3. Selanjutnya, menukar token likuiditas kembali ke token BPT, dan mengulangi proses ini di beberapa kolam.

4. Akhirnya melakukan penarikan dan mendapatkan keuntungan.

Analisis Kerentanan

ComposableStablePools menggunakan formula StableSwap dari Curve untuk menjaga kestabilan harga antar aset yang serupa. Namun, saat melakukan perhitungan invariants dengan operasi skala, akan terjadi kesalahan (error).

Fungsi mulDown melakukan pembulatan ke bawah dari pembagian bilangan bulat, dan kesalahan presisi ini akan berpengaruh pada perhitungan invariants, menyebabkan nilai perhitungan menurun secara abnormal, menciptakan peluang keuntungan bagi penyerang.

7. Analisis Kasus Serangan Anti pencucian Uang

7.1 Kasus Sanksi AS terhadap Ryan James Wedding dan kelompok narkoba

Menurut data yang diungkapkan Departemen Keuangan AS, Ryan James Wedding dan timnya menyelundupkan beberapa ton kokain melalui Kolombia dan Meksiko, dan menjualnya ke AS dan Kanada. Organisasi kriminal mereka menggunakan pencucian uang melalui cryptocurrency untuk membersihkan kekayaan ilegal yang besar.

Dengan alat pelacakan dan investigasi on-chain dari Beosin, analisis terhadap alamat cryptocurrency yang terkait dengan kelompok narkoba Wedding menunjukkan hasil sebagai berikut:

TAoLw5yD5XUoHWeBZRSZ1ExK9HMv2CiPvP, TVNyvx2astt2AB1Us67ENjfMZeEXZeiuu6, dan TPJ1JNX98MJpHueBJeF5SVSg85z8mYg1P1 adalah 3 alamat yang dimiliki Wedding, yang telah memproses total 266.761.784,24 USDT. Sebagian aset telah dibekukan oleh Tether, tetapi sebagian besar aset telah melalui transaksi frekuensi tinggi dan transfer berlapis-lapis, kemudian diisi ulang ke platform seperti Binance, OKX, Kraken, BTSE.

Kelompok mereka, Sokolovski, memiliki beberapa alamat di berbagai jaringan blockchain (BTC, ETH, Solana, TRON, BNB Beacon Chain), dan aliran dana dapat dilihat di laporan lengkap.

7.2 Kasus pencurian dana GMX sebesar 40 juta dolar

Pada 10 Juli 2025, GMX diserang karena kerentanan re-entrancy, dan hacker memperoleh keuntungan sekitar 42 juta dolar. Beosin Trace melacak dana yang dicuri dan menemukan bahwa alamat penyerang 0x7d3bd50336f64b7a473c51f54e7f0bd6771cc355 setelah mendapatkan keuntungan, menukarkan berbagai stablecoin dan altcoin ke ETH dan USDC melalui protokol DEX, dan memindahkan aset yang dicuri ke jaringan Ethereum melalui beberapa protokol lintas rantai.

Selanjutnya, sekitar 32 juta dolar dari aset yang dicuri berupa ETH disimpan di 4 alamat jaringan Ethereum berikut:

0xe9ad5a0f2697a3cf75ffa7328bda93dbaef7f7e7

0x69c965e164fa60e37a851aa5cd82b13ae39c1d95

0xa33fcbe3b84fb8393690d1e994b6a6adc256d8a3

0x639cd2fc24ec06be64aaf94eb89392bea98a6605

Sekitar 10 juta dolar disimpan di alamat jaringan Arbitrum: 0xdf3340a436c27655ba62f8281565c9925c3a5221.

Alur pencucian dana dalam kejadian ini sangat tipikal, hacker menggunakan protokol DeFi, jembatan lintas rantai, dan metode lain untuk mengaburkan dan menyembunyikan jalur dana, agar menghindari pelacakan dan pembekuan oleh regulator dan aparat penegak hukum.