Artikel ini merupakan ulasan atas Top 100 DeFi Hacks Report 2025 yang diterbitkan oleh Halborn, firma keamanan blockchain dan Web3 terkemuka. Laporan ini menganalisis 100 peretasan DeFi termahal dalam sejarah dan tren keamanan sepanjang 2025. Kredit penuh diberikan kepada Halborn.
Halborn, firma keamanan blockchain yang dikenal luas di industri Web3, merilis laporan tahunan paling komprehensif tentang lanskap keamanan DeFi: Top 100 DeFi Hacks Report 2025. Laporan ini tidak hanya merangkum kerugian yang terjadi — ia membedah pola serangan, mengidentifikasi vektor kerentanan yang paling umum, dan merumuskan rekomendasi untuk membangun pertahanan yang lebih kuat.
💥 Bybit: Peretasan DeFi Terbesar dalam Sejarah — $1,4 Miliar
Peristiwa keamanan paling menggemparkan di 2025 adalah peretasan Bybit pada Februari — dikaitkan dengan Lazarus Group dari Korea Utara. Penyerang melancarkan supply chain attack pada infrastruktur penandatangan Bybit, mengelabui para signer untuk menyetujui transaksi berbahaya yang mengalihkan kendali dompet ke penyerang. Total kerugian: sekitar $1,4 miliar — lebih dari dua kali lipat peretasan terbesar sebelumnya dalam sejarah DeFi. Ironisnya, ini bukan kerentanan dalam smart contract, melainkan kegagalan prosedural manusia.
🔑 Off-Chain Attacks: 80%+ Penyebab Kerugian Terbesar
Tren paling mengkhawatirkan yang diidentifikasi Halborn: serangan off-chain mendominasi kerugian terbesar. Kunci privat yang disusupi, social engineering, dan serangan rantai pasokan — bukan bug dalam smart contract — menjadi penyebab utama. Bybit, Phemex ($73 juta, Januari), Nobitex ($90 juta, Juni), dan UPCX ($70 juta, April) semuanya mengalami insiden yang bermuara pada kunci privat yang disusupi. Lebih dari 50% dari semua serangan dalam dua tahun terakhir melibatkan akun yang disusupi.
🧮 Kerentanan Smart Contract: Input Validation Paling Umum
Untuk serangan yang melibatkan eksploitasi kontrak langsung, kerentanan paling umum adalah kurangnya atau cacatnya validasi input, yang menyumbang 34,6% dari kasus. Peretasan Cetus pada Mei ($223 juta) adalah contoh paling menonjol — penyerang mengeksploitasi kesalahan dalam kode pemeriksaan overflow yang muncul saat kode di-fork ke Sui, berhasil membayar satu token untuk menguras seluruh likuiditas protokol.
⚖️ Balancer v2: $120 Juta karena Rounding Error
Pada November 2025, penyerang mengeksploitasi celah dalam Composable Stable Pools Balancer v2 — sebuah rounding error yang memungkinkan manipulasi invariant. Berkat komposabilitas pool ini, beberapa proyek ikut terdampak, menghasilkan total kerugian sekitar $120 juta. Insiden ini menggarisbawahi bahwa composability DeFi — salah satu kekuatan terbesarnya — juga bisa menjadi vektor penyebaran kerusakan yang sangat luas.
🧑💻 Social Engineering: Ancaman Manusia yang Meningkat
Kampanye phishing dan rekayasa sosial terus meningkat. Pengguna Coinbase menjadi target kampanye phishing berkelanjutan yang mencuri sekitar $45 juta hanya dalam satu minggu Mei. Kasus lain termasuk seorang pengembang jahat yang secara sengaja memasukkan backdoor ke protokol LND. Halborn menegaskan: rantai terlemah dalam keamanan Web3 adalah manusia, bukan kriptografi.
🎮 Sasaran Baru: Gaming dan Layer 2
Laporan juga mengidentifikasi perluasan target serangan. Penyerang kini semakin memperhatikan protokol gaming dan rantai Layer 2 — ekosistem yang sering berkembang cepat dengan tim keamanan yang lebih kecil dan proses audit yang kurang ketat. Seiring lebih banyak modal mengalir ke segmen ini di 2026, perhatian keamanan yang lebih besar menjadi sangat kritis.
🛡️ Rekomendasi Utama Halborn
Laporan merekomendasikan pergeseran dari model audit reaktif ke program keamanan holistik yang mencakup: audit smart contract yang komprehensif mencakup seluruh codebase (termasuk bagian yang mungkin terlewatkan dari audit sebelumnya); praktik keamanan kunci privat terbaik; desain dan pemodelan ancaman untuk menangkap kerentanan sejak tahap perancangan; serta pelatihan tim dan tata kelola yang lebih ketat untuk mengurangi risiko insider. Keamanan yang baik, tegas Halborn, harus dimulai dari baris kode pertama — bukan setelah peluncuran.
📥 Unduh Laporan Lengkapnya
Laporan Top 100 DeFi Hacks milik Halborn tersedia gratis dan merupakan referensi wajib bagi developer, auditor, investor, dan siapapun yang membangun atau berinteraksi dengan protokol Web3.