$27M Pencurian Dompet Cryptocurrency Mengungkap Kerentanan Penting dalam Keamanan Multisig

Pelanggaran keamanan terbaru telah menghancurkan dompet mata uang kripto seorang paus Ethereum, mengakibatkan kehilangan lebih dari $27 juta dalam aset digital. Insiden ini, pertama kali diidentifikasi pada November 2025, menjadi peringatan keras tentang bahaya konfigurasi multisig yang salah dan pengelolaan kunci pribadi yang tidak tepat dalam ekosistem cryptocurrency. Perusahaan keamanan blockchain PeckShield menemukan bahwa penyerang mendapatkan kendali atas dompet korban hanya enam menit setelah pembuatannya, mengungkapkan celah mendasar dalam cara pengguna yang bahkan canggih menangani kepemilikan mata uang kripto mereka.

Bagaimana Pengaturan Single-Signature Mengalahkan Perlindungan Multisig

Inti dari bencana ini terletak pada kesalahan konfigurasi kritis: dompet diatur sebagai dompet tanda tangan “1-of-1” bukannya pengaturan multisig yang sebenarnya. Sementara dompet multisig dirancang dengan premis bahwa beberapa persetujuan diperlukan untuk mengeksekusi transaksi, pengaturan ini hanya membutuhkan satu tanda tangan—secara efektif membatalkan seluruh manfaat keamanan. Ketika kunci pribadi dikompromikan, baik melalui phishing, malware, maupun vektor lainnya, penyerang tidak menghadapi hambatan untuk memindahkan dana.

Yang membuat kerentanan ini semakin mengkhawatirkan adalah bahwa ini bukanlah cacat pada teknologi dompet itu sendiri, melainkan kesalahan operasional mendasar dalam penerapan. Kesalahpahaman korban terhadap persyaratan multisig mengubah arsitektur yang seharusnya aman menjadi titik kegagalan tunggal. Para ahli keamanan menekankan bahwa perlindungan multisig yang sebenarnya memerlukan setidaknya konfigurasi 2-of-3 atau 3-of-5, dengan kunci pribadi didistribusikan di berbagai perangkat terisolasi yang dikendalikan oleh pihak berbeda.

Melacak ETH $12.6 Juta Melalui Layanan Mixing

Setelah penyerang mendapatkan akses, mereka segera mulai memindahkan aset curian melalui Tornado Cash, layanan pencampur mata uang kripto yang dirancang untuk menyembunyikan jejak transaksi. Analisis forensik PeckShield mengungkapkan bahwa sekitar 4.100 ETH (dihargai sekitar $12.6 juta berdasarkan nilai tukar November) telah dipindahkan melalui layanan pencampur dalam transaksi bertahap.

Selain Ethereum, peretas membawa keluar beberapa token yang disimpan di dompet tersebut: WETH (Wrapped Ethereum), OKB (yang saat ini diperdagangkan di $86.12), LEO (berdagang sekitar $8.69), dan FET (Artificial Superintelligence Alliance, berkisar di sekitar $0.18). Penyerang juga mempertahankan sekitar $2 juta dalam stablecoin dan aset cair lainnya. Jika digabungkan dengan kepemilikan lain yang mungkin dipindahkan secara terpisah, para ahli forensik memperkirakan total pencurian bisa melebihi $40 juta, menjadikan ini salah satu pelanggaran dompet terbesar dalam sejarah DeFi baru-baru ini.

Penggunaan Tornado Cash mewakili upaya sengaja untuk memecah transparansi blockchain. Meskipun tidak sepenuhnya foolproof—analisis blockchain masih dapat mengidentifikasi pola mencurigakan—layanan pencampur ini berhasil secara signifikan memperumit pelacakan dana dan upaya pemulihan oleh penegak hukum.

Posisi Pinjaman Aave Membuat Risiko Likuidasi Berantai

Pada saat peretasan, korban telah menempatkan kepemilikan mata uang kripto mereka di Aave, platform keuangan terdesentralisasi terkemuka. Dompet yang dikompromikan telah menyediakan sekitar $25 juta dalam Ethereum sebagai jaminan, terhadap mana korban meminjam sekitar $12.3 juta dalam stablecoin DAI (yang saat ini mempertahankan patokan $1.00).

Posisi leverage ini memperkenalkan risiko sekunder yang berbahaya. Faktor kesehatan dompet—metrik yang mengukur seberapa dekat posisi tersebut dengan likuidasi paksa—berada di angka 1.68. Ini sangat dekat dengan ambang batas likuidasi 1.0. Jika harga Ethereum mengalami penurunan signifikan, posisi tersebut akan secara otomatis memicu, memaksa penjualan jaminan dengan harga yang mungkin tidak menguntungkan. Ini tidak hanya menjadi masalah bagi korban, tetapi juga risiko sistemik bagi pasar yang lebih luas, karena likuidasi paksa menghasilkan tekanan jual yang dapat memicu efek berantai di posisi kripto lainnya.

Pelajaran dalam Keamanan Dompet Cryptocurrency

Serangan ini menegaskan beberapa kegagalan keamanan kritis yang harus dihindari oleh pengguna cryptocurrency:

Vektor Kompromi Kunci Pribadi: Pelanggaran awal kemungkinan disebabkan oleh malware di perangkat korban, serangan phishing yang menargetkan kredensial mereka, atau praktik keamanan operasional yang buruk. Penyerang semakin menggunakan rekayasa sosial yang canggih untuk menargetkan individu dengan kekayaan tinggi di ruang crypto.

Penandatanganan Offline dan Dompet Hardware: Profesional keamanan sangat menyarankan agar pengguna yang mengelola kepemilikan crypto besar menggunakan dompet hardware atau perangkat penandatanganan offline khusus. Ini menjaga kunci pribadi sepenuhnya terisolasi dari sistem yang terhubung internet di mana malware dan serangan phishing beroperasi.

Implementasi Multisig yang Sesungguhnya: Dompet multisig yang dikonfigurasi dengan benar memerlukan:

• Persyaratan tanda tangan minimal 2-of-3 atau 3-of-5
• Kunci pribadi disimpan di perangkat yang secara fisik terpisah
• Kunci dikelola oleh pihak berbeda (atau orang yang sama di lokasi geografis berbeda)
• Audit keamanan rutin terhadap pengaturan dan konfigurasi dompet

Verifikasi di Luar UI: Pengguna harus memverifikasi detail transaksi di tingkat perangkat keras, bukan hanya melalui antarmuka pengguna, yang secara teori bisa dikompromikan atau dipalsukan.

Pencurian sebesar $27 juta ini menjadi pelajaran mahal bagi seluruh komunitas cryptocurrency: bahkan praktik keamanan yang sudah mapan seperti dompet multisig hanya memberikan kerangka keamanan sesuai desainnya. Dompet yang salah konfigurasi tidak menawarkan perlindungan lebih dari pengaturan tanda tangan tunggal standar, dan konsekuensinya bisa sangat merugikan. Bagi siapa pun yang mengelola aset crypto dalam jumlah besar, insiden ini menegaskan mengapa infrastruktur keamanan tingkat profesional bukanlah pilihan—itu adalah keharusan.