Peretas Korea Utara Menghancurkan 500 Juta Dolar AS dalam Satu Bulan, Menjadi Ancaman Utama Keamanan Kripto

Oleh: Oluwapelumi Adejumo

Diterjemahkan oleh: Chopper, Foresight News

Dalam waktu kurang dari tiga minggu, organisasi peretas terkait Korea Utara telah mencuri lebih dari 5 miliar dolar dari platform DeFi kripto, dengan titik masuk serangan peretas beralih dari kontrak pintar inti ke celah infrastruktur di tepi jaringan.

Serangan terhadap Drift dan KelpDAO

Dua serangan besar terhadap Drift Protocol dan KelpDAO telah menyebabkan pendapatan ilegal dari kripto Korea Utara tahun ini melebihi 700 juta dolar. Kerugian besar ini menyoroti pergeseran taktik mereka: semakin sering memanfaatkan celah kompleks, infiltrasi mendalam oleh personel, dan menghindari garis pertahanan keamanan standar.

Pada 20 April, penyedia infrastruktur lintas rantai LayerZero mengonfirmasi bahwa KelpDAO mengalami serangan pada 18 April, dengan kerugian sekitar 290 juta dolar, menjadi kasus pencurian terbesar tunggal dari kripto hingga tahun 2026. Perusahaan menyatakan bahwa bukti awal langsung mengarah ke TraderTraitor—sebuah tim khusus dalam kelompok Lazarus yang terkenal dari Korea Utara.

Hanya beberapa minggu sebelumnya, pada 1 April, platform perdagangan kontrak abadi berbasis Solana, Drift Protocol, dicuri sekitar 286 juta dolar. Perusahaan intelijen blockchain Elliptic dengan cepat mengaitkan teknik pencucian uang di rantai, urutan transaksi, dan tanda tangan jaringan dengan jalur serangan yang diketahui dari Korea Utara, dan menunjukkan bahwa ini adalah kejadian serupa ke-18 yang mereka lacak tahun ini.

Pergeseran serangan: infiltrasi di luar infrastruktur

Metode serangan pada bulan April menunjukkan bahwa peretas Korea Utara semakin matang dalam menyerang DeFi. Mereka tidak lagi menyerang kontrak pintar inti secara langsung, melainkan mencari dan menyerang celah di tepi struktur.

Sebagai contoh serangan terhadap KelpDAO: peretas menembus infrastruktur RPC (Remote Procedure Call) hilir dari jaringan verifikasi desentralisasi LayerZero Labs. Dengan memanipulasi saluran data penting ini, penyerang dapat mengendalikan jalannya protokol tanpa merusak kriptografi inti. LayerZero telah menonaktifkan node yang terpengaruh dan sepenuhnya memulihkan DVN, tetapi kerugian finansial tidak dapat dipulihkan.

Metode serangan tidak langsung ini mengungkap evolusi yang menakutkan dalam perang siber. Perusahaan keamanan blockchain Cyvers kepada CryptoSlate menyatakan: bahwa pelaku serangan terkait Korea Utara semakin mahir, menginvestasikan lebih banyak sumber daya dalam perencanaan dan pelaksanaan serangan.

Perusahaan tersebut menambahkan: “Kami juga mengamati bahwa mereka selalu mampu menemukan titik lemah paling rapuh. Kali ini, titik masuknya adalah komponen pihak ketiga, bukan infrastruktur inti protokol.”

Strategi ini sangat mirip dengan kegiatan spionase perusahaan tradisional, dan juga menunjukkan bahwa serangan terkait Korea Utara semakin sulit dicegah. Peristiwa terbaru, seperti insiden peretasan rantai pasokan paket perangkat lunak Axios npm yang banyak digunakan oleh peneliti Google, terkait dengan kelompok ancaman tertentu dari Korea Utara, UNC1069, menunjukkan bahwa: para penyerang secara sistematis merusak sebelum perangkat lunak masuk ke ekosistem blockchain.

Peretasan global industri kripto oleh Korea Utara

Selain terobosan teknis, Korea Utara saat ini juga melakukan infiltrasi besar-besaran dan terorganisir ke pasar tenaga kerja kripto global.

Polanya telah beralih dari operasi peretas jarak jauh secara menyeluruh: menempatkan personel jahat langsung ke dalam perusahaan Web3 yang tidak curiga.

Setelah enam bulan penyelidikan, proyek keamanan Ketman dari ETH Rangers Foundation, menyimpulkan bahwa sekitar 100 agen siber Korea Utara menyusup ke berbagai perusahaan blockchain. Mereka menggunakan identitas palsu, lolos dari pemeriksaan HR standar, dan mendapatkan akses ke kode internal sensitif, kemudian diam-diam menyusup ke tim produk selama berbulan-bulan bahkan bertahun-tahun, sebelum melancarkan serangan yang tepat sasaran.

Peneliti blockchain independen ZachXBT mengonfirmasi infiltrasi semacam ini dari lembaga intelijen. Baru-baru ini, dia mengungkap sebuah jaringan khusus Korea Utara yang melakukan pekerjaan jarak jauh dengan identitas palsu, dan memperoleh keuntungan sekitar 1 juta dolar per bulan.

Skema ini menggunakan saluran keuangan global yang diakui untuk mentransfer kripto ke mata uang fiat, dan sejak akhir 2025, telah memproses lebih dari 3,5 juta dolar.

Menurut para ahli industri, total pendapatan dari personel TI yang disusun oleh Korea Utara diperkirakan mencapai jutaan dolar per bulan. Ini memberi Korea Utara dua sumber pendapatan: gaji tetap + pencurian besar-besaran melalui personel internal.

Total pencurian sebesar 6,75 miliar dolar

Skala bisnis aset digital Korea Utara jauh melampaui kelompok kejahatan siber tradisional mana pun. Menurut perusahaan analisis blockchain Chainalysis: hanya pada 2025, peretas terkait Korea Utara mencuri rekor 2 miliar dolar, mewakili 60% dari total pencurian kripto global tahun itu.

Mengingat serangan besar-besaran tahun ini, total aset kripto yang dicuri Korea Utara telah mencapai 6,75 miliar dolar.

Setelah dana berhasil diperoleh, kelompok Lazarus menunjukkan pola pencucian uang yang sangat spesifik dan tersegmentasi: berbeda dari pelaku kejahatan kripto biasa yang sering menggunakan DEX dan protokol pinjaman peer-to-peer, peretas Korea Utara secara sengaja menghindari saluran ini. Data di rantai menunjukkan mereka sangat bergantung pada layanan transaksi jaminan di wilayah berbahasa Mandarin, jaringan broker over-the-counter (OTC) yang mendalam, dan layanan pencampuran lintas rantai yang kompleks. Preferensi ini mengarah ke saluran pencairan yang bersifat struktural dan terbatas secara geografis, bukan akses tanpa batas ke sistem keuangan global.

Bisakah dicegah?

Para peneliti keamanan dan eksekutif industri percaya bahwa pencegahan masih memungkinkan, tetapi perusahaan kripto harus mengatasi kelemahan operasional yang sama yang terungkap dalam serangan besar sebelumnya.

Pendiri Humanity, Terence Kwok, kepada CryptoSlate mengatakan bahwa serangan terkait Korea Utara masih mengarah ke celah umum, bukan bentuk serangan siber yang benar-benar baru. Ia berpendapat bahwa pelaku Korea Utara meningkatkan kemampuan mereka dalam infiltrasi dan transfer dana, tetapi akar masalahnya tetap pada kontrol akses yang buruk dan risiko operasi yang terpusat.

Ia menjelaskan: “Yang mengejutkan adalah kerugian tetap disebabkan oleh masalah lama seperti kontrol akses dan titik kegagalan tunggal. Ini menunjukkan bahwa industri belum menyelesaikan disiplin keamanan dasar.”

Berdasarkan hal ini, Kwok menunjukkan bahwa garis pertahanan pertama adalah meningkatkan secara signifikan kesulitan dalam memindahkan aset, dengan menerapkan kontrol yang lebih ketat terhadap kunci pribadi, hak akses internal, dan akses pihak ketiga. Dalam praktiknya, perusahaan harus mengurangi ketergantungan pada operator individu, membatasi akses istimewa, memperkuat ketergantungan pada vendor, dan menambahkan lebih banyak verifikasi di infrastruktur antara protokol inti dan dunia luar.

Garis pertahanan kedua adalah kecepatan. Setelah dana dicuri dan melewati lintas rantai, lintas jembatan, atau masuk ke jaringan pencucian uang, peluang untuk pemulihan menurun secara drastis. Kwok menyatakan: bursa, penerbit stablecoin, perusahaan analisis blockchain, dan penegak hukum harus bekerja sama secara cepat dalam beberapa menit atau jam pertama setelah serangan untuk meningkatkan peluang penyitaan dana.

Pernyataannya menyoroti kenyataan industri: titik paling rapuh dari sistem kripto seringkali terletak di persimpangan kode, personel, dan operasi. Satu kredensial yang dicuri, satu ketergantungan vendor yang lemah, atau satu celah hak akses yang diabaikan sudah cukup untuk menyebabkan kerugian miliaran dolar.

Tantangan DeFi bukan lagi sekadar menulis kontrak pintar yang kuat, tetapi juga menjaga keamanan operasional di luar protokol sebelum penyerang memanfaatkan celah berikutnya.