Seorang whale kripto yang memiliki kepemilikan investasi besar dilaporkan mengalami kerugian hampir US$38 juta atau sekitar Rp636 miliar setelah wallet multisig miliknya berhasil dikuasai peretas.
Insiden ini pertama kali dilaporkan oleh perusahaan kemananan blockchain PeckShield pada Kamis (18/12/2025) menyebut kebocoran private key sebagai titik awal serangan yang menyebabkan wallet korban terkuras. Estimasi awal kerugian tercatat sekitar US$27,3 juta atau setara Rp457 milliar, namun pelacakan lanjutan di jaringan menunjukkan total kerugian meningkat hingga mendekati US$38 juta setelah memperhitungkan wallet terkait dan posisi keuangan lain.
Sebagian dana hasil peretasan, sekitar 4.100 ETH senilai kurang lebih US$12,6 juta atau sekitar Rp221 miliar, telah dialirkan melalui Tornado Cash untuk mengaburkan jejak transaksi. Sekitar US$2 juta setara Rp33,5 miliar lainnya masih tersisa dalam bentuk aset likuid. Yang lebih mengkhawatirkan, penyerang hingga kini masih memegang kendali atas alamat korban yang terhubung dengan posisi long leverage di protokol Aave.
Data on-chain menunjukkan alamat tersebut menyimpan jaminan sekitar US$25 juta dalam bentuk ETH, dengan pinjaman lebih dari US$12 juta dalam DAI. Kondisi ini membuka risiko lanjutan bagi korban, karena pergerakan harga yang ekstrem berpotensi memicu likuidasi paksa dan memperbesar total kerugian.
Kesalahan Konfigurasi Multisig Jadi Titik Lemah
Analis on-chain Specter menjelaskan bahwa korban sempat membuat wallet multisig dengan skema 1-of-1, yang berarti hanya membutuhkan satu tanda tangan dari satu pihak untuk mengeksekusi transaksi. Konfigurasi ini dinilai menyalahi tujuan utama multisig, yang seharusnya mengandalkan beberapa persetujuan independen untuk meningkatkan keamanan.
Kurang dari 40 menit setelah dana dipindahkan ke wallet tersebut, seluruh aset di dalamnya langsung terkuras. Pada waktu yang hampir bersamaan, alamat penandatangan wallet juga diubah menjadi alamat yang dikendalikan penyerang. Menurut Specter, skenario paling masuk akal adalah kebocoran private key saat proses pembuatan wallet, atau korban menggunakan bantuan pihak ketiga yang berbahaya.
Analisis lanjutan, mengutip peneliti tanuki42, bahkan mengindikasikan bahwa penyerang kemungkinan sudah terlibat sejak awal dengan membuat wallet multisig tersebut. Jika benar, korban sudah berada dalam posisi rentan sejak tahap pengaturan awal.
Peristiwa ini kembali menegaskan pola kegagalan keamanan yang terus berulang di industri kripto, khususnya terkait pencurian private key dan rekayasa sosial. Laporan Security Alliance pada 15 Desember menyebut bahwa kelompok peretas yang terafiliasi dengan Korea Utara menjalankan panggilan Zoom dan Teams palsu setiap hari untuk menyebarkan malware dan mencuri private key, dengan total kerugian mencapai ratusan juta dolar AS.