Peretas Korea Utara Curi $1,5 Miliar dari Bybit
Pada Februari 2025, Lazarus Group, kelompok peretas asal Korea Utara, berhasil menggondol $1,5 miliar dalam bentuk Ethereum dari platform (platform) Bybit. Aksi ini dilakukan dengan cara memalsukan antarmuka penandatanganan Bybit, menjadikannya peretasan crypto (kripto) terbesar yang pernah tercatat.
Mereka mengecoh penanda tangan multi-signature (multi-tanda tangan) Bybit untuk menyetujui transfer berbahaya, menyebarkan dana curian tersebut ke 53 dompet digital yang berbeda. Perampokan siber skala besar ini menjadi ujian bagi kemampuan pemerintahan Trump dalam mencegah Korea Utara mendanai program nuklir dan misilnya melalui aktivitas peretasan.
Pejabat Bybit mengungkapkan bahwa lebih dari 400.000 ethereum (eter) dan koin ethereum (eter) yang di-stake (dipertaruhkan) telah dicuri dari Dompet Dingin Multisig (Multisig Cold Wallet) dan dipindahkan ke dompet panas (hot wallet), sebelum akhirnya dilarikan keluar dari Bybit sepenuhnya.
Lazarus Group dikenal sebagai kekuatan siber Korea Utara yang digunakan untuk mendanai program misil dan kegiatan ilegal lainnya melalui crypto (kripto) curian. Pada tahun 2024 saja, kelompok ini berhasil mencuri $1,34 miliar dari 47 aksi peretasan yang berbeda. Seorang pejabat Gedung Putih pada tahun 2023 menyatakan bahwa peretas Korea Utara telah mencuri miliaran dolar dari bank dan perusahaan cryptocurrency (mata uang kripto), yang diperkirakan mendanai sekitar setengah dari program misil Korea Utara.
Investigasi dan Upaya Pemulihan
Tak lama setelah kejadian peretasan, penyelidik blockchain (rantai blok), ZachXBT, segera bergerak untuk melacak aliran dana curian tersebut. Berkat keahliannya, ZachXBT berhasil mengidentifikasi Lazarus Group sebagai dalang di balik serangan ini. Atas kontribusinya, ia menerima hadiah sebesar $50.000 dari Arkham Intelligence.
Saat ini, para investigator terus berupaya untuk mencegat dana curian senilai $1,5 miliar tersebut. Sebuah kelompok bahkan mengklaim telah membantu memulihkan sekitar $43 juta sejauh ini. Sebagai bentuk apresiasi dan motivasi, Bybit menjanjikan akan memberikan 10% dari dana yang berhasil dipulihkan kepada para ahli keamanan yang terlibat.
Meskipun upaya pemulihan terus berjalan, para peretas juga tidak tinggal diam. Menurut laporan dari TRM Labs, mereka telah berhasil mencuci sekitar $160 juta dari dana curian tersebut melalui akun-akun yang terhubung dengan agen Korea Utara. Jumlah ini hampir dua kali lipat dari total crypto (kripto) yang berhasil mereka curi pada tahun sebelumnya. Proses pencucian uang ini melibatkan pertukaran melalui berbagai jenis mata uang digital sebelum akhirnya dikonversi menjadi Dolar AS atau Yuan Tiongkok.
Respon Bybit dan Jaminan Solvensi
CEO Bybit, Ben Zhou, segera memberikan pernyataan untuk meyakinkan para pengguna bahwa seluruh dompet dingin (cold wallet) lainnya tetap aman dan proses penarikan dana berjalan normal. Dalam waktu 12 jam setelah kejadian, Bybit berhasil memproses seluruh permintaan penarikan dana dan mendapatkan pinjaman jangka pendek (bridge loan) yang mencakup 80% dari Ethereum yang dicuri. Ben Zhou menegaskan bahwa perusahaan tetap solven dan mampu menanggung kerugian sebesar $1,5 miliar tersebut. Bybit juga aktif bekerja sama dengan regulator dan penegak hukum untuk menangani insiden ini.
Meskipun terjadi peretasan besar, Ben Zhou memastikan bahwa dompet panas (hot wallet) dan dompet hangat (warm wallet) Bybit tetap aman dan tidak terpengaruh. Serangan ini hanya menyasar satu dompet dingin (cold wallet), dan Bybit menjamin akan menanggung seluruh kerugian yang dialami pengguna.
Rincian Peretasan dan Metode Eksploitasi
Para peretas ternyata tidak memanfaatkan kerentanan kode (code vulnerabilities) dalam sistem Bybit. Sebaliknya, mereka justru memanipulasi antarmuka pengguna (User Interface/UI) dompet Safe pada beberapa perangkat karyawan untuk menyetujui transaksi penipuan tersebut. Investigasi lanjutan yang dilakukan oleh Safe menemukan bahwa tidak ada akses tidak sah ke infrastruktur mereka, tidak ada kompromi pada dompet Safe lainnya, dan tidak ada kerentanan yang jelas dalam basis kode Safe (Safe codebase).
Pihak Bybit menyatakan bahwa transaksi penipuan tersebut “dimanipulasi oleh serangan canggih yang mengubah logika smart contract (kontrak pintar) dan menutupi antarmuka penandatanganan, sehingga memungkinkan penyerang untuk mendapatkan kendali atas Dompet Dingin ETH (ETH Cold Wallet).”
Peneliti dari Check Point mengungkapkan bahwa, “Tidak peduli seberapa kuat logika smart contract (kontrak pintar) atau perlindungan multisig (multi-tanda tangan) Anda, elemen manusia tetap menjadi mata rantai terlemah.” Mereka juga menambahkan bahwa peretasan Bybit ini telah menghancurkan asumsi yang telah lama dipegang tentang keamanan crypto (kripto).
Peretas yang bekerja untuk pemerintah Korea Utara telah lama dikenal menggunakan alat malware (perangkat perusak) canggih yang beroperasi dengan mulus di berbagai sistem operasi seperti Windows, MacOS, serta berbagai antarmuka dompet digital. Selain itu, mereka juga terkenal dengan keahlian social engineering (rekayasa sosial) yang tanpa henti.
Implikasi Keamanan dan Teknik yang Digunakan Peretas
Dompet dingin multisig (multi-tanda tangan) selama ini dianggap sebagai standar emas dalam mengamankan aset cryptocurrency (mata uang kripto) dalam jumlah besar. Sistem ini memerlukan tanda tangan digital dari dua orang atau lebih yang berwenang sebelum aset dapat diakses.
Spekulasi awal langsung tertuju pada kemungkinan kompromi pada dompet dingin (cold wallet) atau infrastruktur hosting (penyimpanan)-nya. Dugaan ini sejalan dengan laporan bahwa karyawan Bybit yang terdampak melihat informasi transaksi yang tampak benar, namun pada kenyataannya, transaksi berbahayalah yang dieksekusi.
Para peneliti dari Elliptic mencatat bahwa teknik pencucian uang dan aliran dana yang terdeteksi sangat mirip dengan ciri khas aktor ancaman yang bekerja untuk Korea Utara. Hal ini semakin memperkuat dugaan keterlibatan Lazarus Group dalam peretasan Bybit ini.
Dampak pada Perdagangan Crypto dan Langkah Keamanan Masa Depan
Berbeda dengan perdagangan menggunakan dana pribadi, perdagangan crypto prop (kripto prop) melindungi para trader (pedagang) dari kerugian langsung akibat peretasan, karena modal disediakan oleh perusahaan. Bybit tetap menjadi pilihan utama bagi perusahaan crypto prop (kripto prop) karena eksekusi yang cepat, likuiditas yang dalam, dan lebih dari 500 pasangan USDT (Tether).
Untuk meningkatkan keamanan setelah peretasan, HyroTrader mengambil langkah tegas dengan memperketat diskusi keamanan dengan para trader (pedagang). Tidak ada lagi email (surat elektronik) palsu atau tautan mencurigakan—yang diutamakan adalah perdagangan yang solid dan aman.
Menurut Nick Carlsen dari TRM Labs, kemampuan jaringan keuangan ilegal untuk menyerap uang dalam jumlah besar dengan begitu cepat sangat mengkhawatirkan. Carlsen menyatakan bahwa strategi saat ini dari pemerintah dan industri tidak efektif, dan diperlukan rencana baru untuk mencegah dan menghukum Korea Utara atas peretasan ini.