19 Miliar Kata Sandi yang Diretas Terungkap Kerentanan Inti Crypto: Risiko Operasional, Bukan Cacat Kode

Kerugian industri kripto yang memecahkan rekor di tahun 2025 tidak terutama disebabkan oleh eksploitasi kontrak pintar yang canggih atau kegagalan kode tingkat protokol. Sebaliknya, pelanggaran keamanan terbesar kembali ke kelemahan yang lebih mendasar: kumpulan besar kata sandi yang dikompromikan yang kini beredar di web gelap dan pasar bawah tanah. Dengan miliaran kredensial yang dikompromikan secara global, penyerang telah menemukan jalur yang lebih mudah dari sebelumnya untuk menembus dompet kripto, akun pertukaran, dan infrastruktur perusahaan melalui pencurian kredensial sederhana dan rekayasa sosial daripada eksploitasi teknis yang mahal.

“Narasi seputar peretasan kripto telah berubah secara fundamental,” jelas Mitchell Amador, CEO platform keamanan onchain Immunefi, dalam analisisnya tentang lanskap ancaman yang muncul. “Meskipun 2025 menandai tahun terburuk untuk kerugian keamanan dalam catatan, sebagian besar kerusakan berasal dari kerentanan operasional dan kredensial yang dikompromikan daripada kode yang rusak.”

Perbedaan ini membawa implikasi mendalam tentang bagaimana industri harus mendekati pertahanan di tahun 2026 dan seterusnya. Sementara pengembang merayakan peningkatan yang terukur dalam keamanan protokol on-chain, permukaan serangan yang sebenarnya telah sepenuhnya berpindah ke tempat lain: ke kata sandi, sistem otentikasi, dan proses pengambilan keputusan manusia.

Dari Eksploitasi Kode ke Pencurian Kredensial: Perubahan Paradigma Keamanan

Protokol DeFi dan sistem on-chain utama menjadi jauh lebih sulit untuk dikompromikan melalui cara teknis tradisional. Audit keamanan, metode verifikasi formal, dan program bounty bug secara sistematis mengurangi kerentanan kode yang dapat dieksploitasi. Namun secara bersamaan, industri cryptocurrency menghadapi masalah terbalik: semakin keras keamanan teknis, keamanan operasional manusia menjadi titik lemah utama.

Angka 19 miliar yang mewakili kredensial yang dikompromikan secara global menegaskan skala perubahan ini. Setiap kredensial tersebut merupakan potensi titik masuk ke akun kripto, sistem perusahaan, dan infrastruktur institusional. Penyerang tidak lagi perlu mengembangkan eksploit zero-day atau menghabiskan bulan-bulan menganalisis bytecode; mereka cukup mendapatkan database kata sandi, melakukan cross-reference terhadap email pertukaran cryptocurrency, dan meluncurkan kampanye stuffing kredensial yang terarah.

“Lebih dari 90% proyek masih menyimpan kerentanan kritis yang dapat dieksploitasi dalam basis kode mereka,” akui Amador, namun dia menekankan realitas yang kontradiktif: “Keamanan on-chain meningkat secara dramatis. Pertarungan nyata di tahun 2026 akan berlangsung di perimeter pertahanan pengawasan manusia, bukan di kontrak pintar itu sendiri.”

Rekayasa Sosial Memperalat Miliaran Kata Sandi yang Dicuri

Laporan Kejahatan Kripto 2026 dari Chainalysis mengungkapkan bahwa penipuan dan penipuan kini secara substansial melebihi peretasan infrastruktur tradisional sebagai vektor kerugian. Sekitar $17 miliar menghilang akibat skema penipuan dan penipuan sepanjang 2025—angka yang mengejutkan yang mencerminkan skala serangan berbasis kredensial.

Taktik paling merusak memanfaatkan kombinasi kata sandi yang dikompromikan dengan presisi rekayasa sosial. Penipuan impersonasi saja meningkat 1.400% dari tahun ke tahun, saat penyerang menyamar sebagai staf dukungan resmi, perwakilan pertukaran, dan pengembang protokol untuk meyakinkan korban menyerahkan kredensial otentikasi atau kunci pribadi secara sukarela.

Salah satu contoh terkenal mengilustrasikan ancaman ini awal bulan ini ketika peneliti blockchain ZachXBT mengungkapkan kampanye rekayasa sosial yang canggih yang menghasilkan $282 juta dalam Bitcoin dan Litecoin. Korban kehilangan 2,05 juta LTC dan 1.459 BTC setelah penyerang, kemungkinan menggunakan kredensial karyawan yang dikompromikan atau komunikasi yang disadap, memanipulasi mereka agar mentransfer dana ke dompet yang dikendalikan penyerang. Aset yang dicuri langsung dialirkan melalui mixer privasi menuju titik konversi Monero.

Insiden semacam ini menggambarkan bagaimana kolisi kredensial yang dikompromikan, rekayasa sosial, dan kecanggihan penyerang menciptakan hambatan yang hampir tak tertembus bagi pengguna individu dan bahkan institusi. Peralatan penyerang tidak lagi memerlukan pengetahuan blockchain yang mendalam—cukup akses ke kredensial yang dicuri dan teknik rekayasa sosial yang meyakinkan.

AI Melipatgandakan Ancaman: Penipuan Meningkat Sementara Deteksi Tertinggal

Kecerdasan buatan secara fundamental telah mengubah ekonomi dan skala serangan berbasis kredensial. Operasi penipuan yang didukung AI terbukti 450% lebih menguntungkan daripada skema tradisional di tahun 2025, menurut data Chainalysis, karena AI dapat mengotomatisasi penargetan korban, pembuatan pesan phishing, dan rekayasa sosial dalam skala yang belum pernah terjadi sebelumnya.

Efisiensi ini berarti penyerang kini dapat memproses miliaran kata sandi yang dikompromikan jauh lebih cepat dan cerdas daripada generasi penipuan sebelumnya. Alih-alih mencari kredensial korban tertentu secara manual, sistem AI dapat secara otomatis melakukan cross-reference database kata sandi yang dikompromikan dengan pengguna cryptocurrency yang dikenal, mengidentifikasi target bernilai tinggi, menghasilkan skrip rekayasa sosial yang dipersonalisasi, dan menjalankan kampanye terkoordinasi di berbagai saluran secara bersamaan.

Namun, respons pertahanan tetap tidak memadai. Amador menyoroti kesenjangan mencolok: “Kurang dari 1% industri menggunakan perlindungan firewall, dan kurang dari 10% telah menerapkan alat deteksi berbasis AI.” Kekurangan pertahanan ini berarti stok kata sandi yang dikompromikan terus memicu serangan sementara adopsi teknologi pelindung di institusi tetap minim.

Keamanan On-Chain Meningkat, Tapi Pertahanan Manusia Tetap Rentan

Paradoks tahun 2025 berpusat pada kontradiksi ini: keamanan on-chain meningkat secara substansial, namun kerugian total meningkat. Kontradiksi ini terselesaikan saat kita melihat di mana pelanggaran sebenarnya terjadi. Kode protokol menjadi lebih tangguh, tetapi lapisan manusia—kata sandi, akses karyawan, kerentanan terhadap rekayasa sosial—menjadi lebih lemah secara bersamaan sebagai permukaan serangan utama.

Amador memproyeksikan bahwa 2026 akan menjadi “tahun terbaik untuk keamanan on-chain” dari sudut pandang kode murni. Protokol DeFi akan terus memperkuat diri terhadap eksploitasi tradisional. Namun dia juga memperingatkan bahwa kemajuan teknis ini menyembunyikan kerentanan yang lebih dalam: “Faktor manusia sekarang adalah titik lemah yang harus diprioritaskan oleh para ahli keamanan onchain dan pemain Web3.”

Implikasinya sangat jelas. Saat miliaran kata sandi yang dikompromikan tetap beredar aktif melalui pasar bawah tanah dan komunitas penyerang, hambatan masuk untuk serangan berbasis kredensial terus menurun. Penyerang dengan akses ke database 19 miliar kata sandi yang dikompromikan membutuhkan sedikit kecanggihan—cukup ketekunan, keterampilan rekayasa sosial, dan kesabaran untuk mengidentifikasi target yang rentan.

Mempersiapkan 2026: Perbatasan Keamanan Baru

Tahap berikutnya dari evolusi keamanan kripto akan berlangsung di medan perang yang sama sekali berbeda dari perang keamanan protokol historis. Amador menekankan bahwa “di 2026, AI akan mengubah tempo keamanan di kedua sisi—para pembela akan mengandalkan pemantauan dan respons berbasis AI dengan kecepatan mesin, sementara penyerang menggunakan alat yang sama untuk penelitian kerentanan dan rekayasa sosial secara skala.”

Ancaman yang muncul dan berpotensi lebih tidak stabil melibatkan agen AI on-chain—sistem otonom yang menjalankan keputusan keuangan tanpa intervensi manusia. Agen-agen ini memperkenalkan permukaan serangan baru: “Agen AI onchain bisa lebih cepat dan lebih kuat daripada operator manusia,” peringat Amador, “dan mereka secara unik rentan terhadap manipulasi jika jalur akses atau lapisan kontrol mereka dikompromikan.” Implikasi keamanan ini tetap sebagian besar belum dieksplorasi saat industri bergerak menuju perdagangan otonom dan sistem manajemen protokol.

Angka 19 miliar kata sandi yang dikompromikan yang beredar secara global hanyalah lapisan krisis saat ini. Seiring AI mempercepat kampanye serangan dan sistem otonom berkembang biak, keharusan keamanan secara tegas beralih dari audit kode menuju penguatan operasional: pelatihan karyawan, manajemen kredensial, sistem kontrol akses, dan infrastruktur pemantauan. Para penyerang telah menemukan bahwa mencuri miliaran kata sandi memberikan pengembalian yang jauh lebih besar daripada mencoba menembus kode yang semakin tangguh. Sampai industri secara memadai membela lapisan manusia dan operasional, kalkulasi tersebut kemungkinan akan bertahan sepanjang 2026.