19 Miliar Kata Sandi yang Diretas Mengungkap Mengapa Masalah Keamanan Nyata Crypto Bukanlah Kode—Melainkan Orang

Narasi seputar keamanan kripto sedang bergeser dengan cara yang tidak diduga oleh industri. Sementara tahun 2025 mencatat rekor terburuk sebagai tahun tersulit untuk peretasan kripto, pengungkapan yang mengkhawatirkan bukan terletak pada eksploitasi kontrak pintar yang canggih atau kerentanan kode yang elegan. Sebaliknya, 19 miliar kata sandi yang dikompromikan dan kegagalan operasional gaya Web2—kredensial yang dicuri, karyawan yang dimanipulasi, saluran dukungan palsu—menyumbang sebagian besar kerugian. Perubahan sudut pandang ini sangat penting karena menyiratkan sesuatu yang kontraintuitif: seiring keamanan onchain menguat, penyerang beradaptasi dengan menargetkan kerentanan termudah dalam sistem apa pun: manusia.

Mitchell Amador, CEO platform keamanan onchain Immunefi, merangkum perubahan ini dalam sebuah percakapan eksklusif: “Meskipun 2025 menjadi tahun terburuk untuk peretasan yang tercatat, peretasan tersebut berasal dari kegagalan operasional Web2, bukan dari kode onchain.” Perbedaan ini menyentuh inti dari lanskap ancaman yang terus berkembang dalam dunia kripto. Sementara kerugian meningkat sepanjang 2025, keamanan onchain secara paradoks meningkat—sebuah divergensi yang kemungkinan akan mendefinisikan era perlindungan aset digital berikutnya.

Faktor Manusia Menjadi Titik Lemah Terlemah dalam Crypto

Bukti yang ada sangat jelas. Sekitar $17 miliar dalam cryptocurrency disedot melalui penipuan dan scam pada tahun 2025, dengan taktik impersonasi dan skema berbasis AI muncul sebagai vektor yang sangat efektif dan merusak. Laporan Kejahatan Kripto Chainalysis 2026 mencatat perubahan besar dalam perilaku penyerang: scam impersonasi melonjak 1.400% dari tahun ke tahun, sementara skema yang didukung AI terbukti 450% lebih menguntungkan daripada metode penipuan tradisional.

Ini bukan hal abstrak—kerusakannya nyata. Baru bulan lalu, peneliti blockchain ZachXBT mengungkap perampokan social engineering sebesar $282 juta di mana penyerang memanipulasi target agar menyerahkan 2,05 juta LTC dan 1.459 BTC. Harta rampasan tersebut langsung dicuci melalui pertukaran instan yang berfokus pada privasi ke Monero, menggambarkan bagaimana kegagalan keamanan operasional menyebar ke seluruh ekosistem.

Yang membuat serangan ini sangat jahat adalah barrier teknisnya yang rendah. Email phishing yang meyakinkan, agen dukungan palsu, atau kredensial yang dikompromikan mampu melewati setiap firewall dan audit kontrak canggih yang bisa dibeli dengan uang. 19 miliar kata sandi yang dikompromikan yang beredar di berbagai sudut gelap internet mewakili permukaan serangan yang terus berkembang—yang sulit dikendalikan oleh pertahanan otomatis.

Impersonasi dan Scam AI Mengungguli Serangan Infrastruktur Tradisional

Perhitungan kriminal telah berubah. Di masa lalu, penyerang fokus mencari bug tersembunyi dalam kontrak token atau implementasi layer-2, kini mereka memprioritaskan psikologi sosial dan manipulasi skala besar. Data Chainalysis mengungkapkan perubahan besar ini: scam dan penipuan kini melampaui pelanggaran infrastruktur langsung sebagai vektor utama untuk mengekstraksi nilai dari ekosistem kripto.

Amador menjelaskan mengapa eksploitasi kode menurun: “Dengan kode yang menjadi kurang rentan dieksploitasi, permukaan serangan utama di tahun 2026 akan menjadi manusia.” Protokol DeFi telah secara dramatis meningkatkan postur keamanannya melalui audit, program bounty bug, dan arsitektur defensif. Namun, kemajuan ini menciptakan insentif yang aneh—penyerang justru beralih ke target yang lebih lunak: pengguna individu, karyawan perusahaan, dan proses operasional.

Skala masalah ini luar biasa. Scam impersonasi saja bukan hanya kategori dalam penipuan, tetapi kini menjadi vektor ancaman dominan. Dikombinasikan dengan AI yang mendukung social engineering, yang dapat mensintesis identitas palsu yang meyakinkan dan manipulasi personal secara cepat, penargetan individu menjadi lebih efisien dan menguntungkan dari sebelumnya.

Mengapa Keamanan Smart Contract Tidak Bisa Menghentikan Social Engineering

Sebuah statistik yang menyedihkan menegaskan paradoks ini: lebih dari 90% proyek kripto masih menyimpan kerentanan kritis yang dapat dieksploitasi dalam kode mereka. Namun, kenyataan suram ini menyembunyikan kebenaran yang lebih dalam. Kerentanannya bukanlah kontrak yang belum diperbaiki—melainkan kata sandi dompet yang tertulis di sticky note, USB yang tertinggal di taksi, karyawan yang mengklik tautan berbahaya.

Temuan Chainalysis dan Immunefi saling bersesuaian pada sebuah kenyataan yang tidak nyaman. Alat pertahanan yang dapat secara dramatis mengurangi risiko tetap sangat kurang digunakan. Kurang dari 1% industri menerapkan firewall. Kurang dari 10% telah mengimplementasikan sistem deteksi berbasis AI. Celah ini bukan kegagalan teknis; melainkan kegagalan organisasi. Infrastruktur ada untuk mencegah sebagian besar bencana operasional yang mendefinisikan 2025, tetapi adopsinya sangat minim.

Perspektif Amador memandang tantangan ini dalam istilah manusia: “Faktor manusia sekarang menjadi titik lemah yang harus diprioritaskan oleh para ahli keamanan onchain dan pemain Web3.” Ini bukan hiperbola. Kata sandi yang dikompromikan, berbeda dengan bug kontrak pintar, tidak memerlukan penelitian kerentanan yang rumit untuk dieksploitasi. Ini distribusi secara massal, manipulasi yang dibuat menjadi sangat mudah oleh AI, dan kelenturan psikologi manusia yang abadi.

Perlombaan Senjata AI: Pembela vs Penyerang dalam Kecepatan Mesin

Jika tahun 2025 milik para penjahat yang belajar mengeksploitasi manusia secara skala besar, tahun 2026 akan menjadi milik teknologi yang memungkinkan dan melawan eksploitasi tersebut dengan kecepatan mesin. “AI akan mengubah tempo keamanan di kedua sisi,” jelas Amador. Pembela akan menggunakan sistem pemantauan dan respons berbasis AI yang beroperasi dalam kecepatan mesin, mendeteksi anomali dan memblokir serangan dalam milidetik. Secara bersamaan, penyerang akan menggunakan alat yang sama untuk penelitian kerentanan, rekayasa eksploitasi, dan kampanye social engineering massal.

Lomba senjata ini memperkenalkan kategori risiko yang sedikit dipersiapkan industri. Seiring keamanan kode menguat, frontier kerentanan bergeser dari kontrak statis ke antarmuka manusia-mesin yang dinamis. Antarmuka antara pengguna, dompet, pertukaran, dan protokol menjadi medan pertempuran baru—di mana AI memungkinkan pertahanan yang belum pernah terjadi sebelumnya dan penipuan yang belum pernah terjadi sebelumnya.

Agen Onchain Memperkenalkan Kerentanan Baru

Mungkin risiko paling maju yang diidentifikasi Amador melampaui paradigma keamanan siber konvensional. Ketika agen onchain otonom dan sistem AI mendapatkan kemampuan untuk mengeksekusi keputusan dan mentransfer aset tanpa intermediasi manusia, muncul permukaan serangan yang baru. “Agen AI onchain bisa lebih cepat dan lebih kuat daripada operator manusia, dan mereka secara unik rentan terhadap manipulasi jika jalur akses atau lapisan kontrol mereka dikompromikan,” dia memperingatkan.

Ini merupakan perubahan kualitatif dalam risiko. Kegagalan keamanan sebelumnya membutuhkan penyerang untuk mengompromikan dompet atau akun pertukaran—aset yang teridentifikasi secara diskret. Agen AI, sebaliknya, beroperasi dengan otoritas yang didelegasikan di seluruh protokol dan kumpulan likuiditas. Mengompromikan satu lapisan kontrol agen akan memberi penyerang akses algoritmik ke aliran modal dalam kecepatan mesin. “Kita masih dalam tahap awal belajar bagaimana mengamankan agen dengan benar,” akui Amador, “dan ini akan menjadi salah satu tantangan keamanan utama di siklus berikutnya.”

Masa Depan: Keamanan Lebih dari Sekadar Kode

Kesepakatan yang muncul di antara para ahli keamanan sangat mencolok. Keamanan onchain terbukti meningkat, namun kerugian total terus bertambah. Kontradiksi yang tampak ini hilang ketika sudut pandang bergeser dari kode ke operasi. Musuhnya bukanlah programmer cerdas yang menemukan bug reentrancy—melainkan kriminal canggih yang menggunakan 19 miliar kata sandi yang dikompromikan, identitas sintetis, dan manipulasi psikologis untuk mengekstraksi nilai dari individu.

Respons industri kripto akan menentukan apakah tahun 2026 membalikkan kerusakan yang terjadi di tahun 2025. Ini membutuhkan investasi dalam sistem AI defensif, manajemen kata sandi tingkat perusahaan, kontrol multi-tanda tangan, dan edukasi. Ini membutuhkan penutupan celah adopsi yang meninggalkan 99% proyek tanpa perlindungan infrastruktur keamanan dasar. Yang paling mendasar, ini membutuhkan pengakuan bahwa kriptografi terkuat di dunia tidak berarti apa-apa jika titik lemah tetap manusia, penilaian, kompromi, dan penipuan.

Pertempuran keamanan tidak lagi dilaksanakan di onchain. Ia berlangsung di antarmuka pengguna, kontrol akses perusahaan, dashboard pemantauan, dan ruang-ruang di antara niat manusia dan eksekusi otomatis. Dan di arena itu, pihak yang menggabungkan kecanggihan teknologi dengan disiplin operasional akan akhirnya unggul.