Korea Utara peretas telah menjadi mimpi buruk terbesar di dunia kripto. Baru-baru ini melihat laporan dari TRM Labs, data yang saya lihat membuat saya agak merinding—baru 4 bulan tahun ini, organisasi peretas Korea Utara telah merampas sekitar 577 juta dolar AS di dunia kripto, menyumbang 76% dari dana yang dicuri secara global dalam periode yang sama. Proporsi ini benar-benar mencengangkan.

Kerugian terutama berasal dari dua peristiwa besar yang terjadi pada bulan April. Kelp DAO dibobol sebesar 292 juta dolar AS, sementara Drift Protocol dicuri sebesar 285 juta dolar AS. Menariknya, kedua kasus ini hanya menyumbang 3% dari total serangan selama empat bulan pertama tahun ini, tetapi menanggung sebagian besar kerugian. Ini menunjukkan bahwa peretas Korea Utara telah beralih dari "menembak sembarangan" menjadi menembak dengan presisi.

Kelp DAO dilakukan oleh TraderTraitor yang terkenal buruk reputasinya, yang terkait erat dengan kelompok LassaRuu. Sedangkan Drift dilakukan oleh kelompok peretas Korea Utara lain yang belum sepenuhnya terungkap.

Mengenai serangan Drift, saya rasa yang paling menakutkan adalah bahwa ini bukan serangan mendadak. TRM mengungkapkan bahwa ini adalah operasi infiltrasi yang sangat cermat yang berlangsung selama berbulan-bulan. Agen Korea Utara melakukan kontak langsung berkali-kali dengan tim Drift, mulai dari 11 Maret, untuk melakukan persiapan, membangun akun nonce permanen di Solana untuk menandatangani transaksi sebelumnya, dan juga memancing anggota multi-signature dari Dewan Keamanan Drift agar memberikan otorisasi terlebih dahulu. Serangan mematikan terjadi pada 1 April, tepat setelah Drift menyesuaikan ambang batas hak akses Dewan Keamanan dan membatalkan kunci waktu dalam beberapa hari, peretas dalam 12 menit memicu 31 instruksi penarikan yang sudah ditandatangani sebelumnya, langsung menguras dana. Kombinasi rekayasa sosial dan manipulasi teknologi ini sangat sulit dideteksi.

Kejadian yang menimpa Kelp DAO adalah pola lain. Peretas melihat celah dalam arsitektur "validator tunggal" di jembatan komunikasi lintas rantai LayerZero, dan masuk ke infrastruktur RPC untuk mengubah logika verifikasi. Setelah memaksa sistem mengalihkan hak verifikasi ke node yang dikendalikan, lebih dari 116.000 rsETH berhasil dicuri. Bahkan meskipun resmi Arbitrum segera membekukan sebagian aset, peretas dengan cepat memindahkan dana melalui protokol likuiditas lintas rantai seperti THORChain.

Lebih mengkhawatirkan lagi adalah tren ini. Proporsi pencurian kripto oleh peretas Korea Utara terhadap total pencurian global meningkat pesat—dari kurang dari 10% pada 2020 dan 2021, naik menjadi 22% pada 2022, 37% pada 2023, 39% pada 2024, dan mencapai rekor tertinggi 64% pada 2025. Tahun ini bahkan mencapai 76%. Sejak 2017, total kripto yang dicuri oleh peretas Korea Utara telah melebihi 6 miliar dolar AS.

TRM menunjukkan bahwa insiden besar pada tahun 2025, ketika sebuah bursa besar diretas sebesar 1,46 miliar dolar AS, menjadi titik balik dalam pola serangan peretas Korea Utara. Setelah itu, mereka mengubah taktik, tidak lagi menembak sembarangan, tetapi menargetkan sasaran bernilai tinggi, khusus menyerang jembatan lintas rantai, sistem tata kelola multi-tanda, dan infrastruktur penting lainnya, agar serangan sekali jadi berhasil.

Menariknya, kasus Drift dan Kelp DAO juga mencerminkan diversifikasi metode pencucian uang Korea Utara. Peretas Drift sangat sabar, setelah dana masuk ke Ethereum, mereka tetap diam dan mungkin berencana menyimpan dana selama berbulan-bulan bahkan bertahun-tahun, menunggu momentum yang tepat untuk mencairkannya. Sebaliknya, peretas Kelp DAO lebih cepat dan langsung, dengan cepat menukar dana melalui THORChain menjadi Bitcoin, lalu menyerahkannya ke perantara pencucian uang bawah tanah.

Menghadapi ancaman yang semakin merajalela ini, TRM menyerukan agar platform-platform besar segera meningkatkan pengawasan kepatuhan. Fokus pertahanan termasuk memantau secara ketat dana lintas rantai yang keluar melalui THORChain, memperkuat pelacakan transaksi multi-lompatan di infrastruktur jembatan lintas rantai, dan melakukan penyaringan ketat terhadap jalur deposit terkait tata kelola Solana, terutama yang melibatkan mekanisme nonce permanen. Selain itu, industri harus aktif bergabung dalam mekanisme pertahanan bersama seperti Beacon Network, sehingga jika alamat dompet peretas Korea Utara terdeteksi, dapat segera memicu alarm gabungan lintas platform dan memutus aliran pencucian uang secara menyeluruh. Pertarungan ini masih jauh dari selesai, mimpi buruk di dunia kripto masih terus berlanjut.