Bybit baru saja mengalami pencurian kripto terbesar dalam sejarah — $1,4B dikuras dalam hitungan menit.
401.000 ETH lenyap dari dompet dingin mereka dalam sekali sapuan. Tanpa batch. Tanpa penundaan. Hanya banjir Ethereum mengalir ke alamat yang tidak diketahui.
Apa yang membuat serangan ini mengerikan?
Para penandatangan menyetujui transaksi itu sendiri.
Karena antarmuka yang mereka percayai sudah dikompromikan.
Antarmuka yang teracuni.
Alamat tujuan yang tersembunyi.
Sebuah jebakan sempurna.
Setelah tanda tangan terakhir diterima, kendali atas brankas berbalik — dan seluruh dompet dingin dikosongkan. ETH langsung ditukar, dibagi ke 50+ dompet, dan tersebar di seluruh rantai.
Analisis awal menunjukkan kepada Lazarus Group, penyerang yang didukung negara yang sama di balik Ronin, DMM Bitcoin, dan beberapa pelanggaran bernilai miliaran dolar.
Senjata mereka bukanlah kode — itu adalah orang.
Pembaruan palsu. Vendor yang dikompromikan. Spear-phishing.
Mereka tidak merusak brankas.
Mereka menipu manusia untuk membukanya.
Untuk kredit mereka, Bybit menjaga penarikan tetap terbuka dan memproses lebih dari 350.000 penarikan dalam 10 jam sambil mengamankan $4B dalam likuiditas darurat. Langkah itu sendiri mencegah keruntuhan skala penuh.
Tetapi pesannya jelas:
Bybit baru saja mengalami pencurian crypto terbesar dalam sejarah — $1.4B diambil dalam hitungan menit.
401.000 ETH lenyap dari dompet dingin mereka dalam sekali sapuan. Tidak ada batch. Tidak ada penundaan. Hanya banjir Ethereum yang mengalir ke alamat yang tidak diketahui.
Apa yang membuat serangan ini menakutkan?
Para penandatangan menyetujui transaksi itu sendiri.
Karena antarmuka yang mereka percayai sudah terkompromikan.
Antarmuka yang teracuni.
Alamat tujuan yang tersembunyi.
Jebakan yang sempurna.
Setelah tanda tangan terakhir diterima, kendali brankas beralih — dan seluruh dompet dingin dikosongkan. ETH langsung ditukar, dibagi di lebih dari 50 dompet, dan disebar di seluruh rantai.
Analisis awal menunjukkan kepada Lazarus Group, penyerang yang didukung negara yang sama di balik Ronin, DMM Bitcoin, dan beberapa pelanggaran bernilai miliaran dolar.
Senjata mereka bukanlah kode — itu adalah orang.
Pembaruan palsu. Vendor yang dikompromikan. Spear-phishing.
Mereka tidak merusak brankas.
Mereka menipu manusia untuk membukanya.
Untuk kredit mereka, Bybit menjaga penarikan tetap terbuka dan memproses lebih dari 350.000 penarikan dalam 10 jam sambil mengamankan $4B dalam likuiditas darurat. Langkah itu sendiri mencegah keruntuhan skala penuh.
Tetapi pesannya jelas:
Dompet dingin tidak tak terkalahkan.
Persetujuan manusia sekarang adalah tautan terlemah dalam keamanan crypto.
Ini bukan hanya pencurian — ini adalah peringatan bagi setiap bursa, kustodian, dan pengguna di industri.
Dompet dingin tidak tak terkalahkan.
Persetujuan manusia sekarang adalah tautan terlemah dalam keamanan crypto.
Ini bukan hanya pencurian — ini adalah peringatan bagi setiap bursa, kustodian, dan pengguna di industri.