Penurunan Tajam Kerugian Phishing Kripto di 2025: Tanda Keamanan Membaik atau Ancaman yang Berubah Bentuk?

Laporan terbaru dari Scam Sniffer menunjukkan bahwa kerugian akibat phishing di dunia kripto pada tahun 2025 turun drastis—sebesar 83% dibandingkan tahun sebelumnya, menjadi hanya $83,85 juta. Jumlah dompet yang terdampak juga menyusut hingga 68%, dengan total sekitar 106.000 dompet. Namun, para ahli keamanan memperingatkan bahwa penurunan ini bukan berarti ancaman telah hilang, melainkan berevolusi ke bentuk yang lebih canggih dan sulit dideteksi.

Apa yang Sebenarnya Terjadi pada 2025?

Menurut analisis Scam Sniffer, serangan phishing besar-besaran yang biasa terjadi melalui situs palsu atau email penipuan mulai berkurang. Sebaliknya, teknik baru muncul: eksploitasi tanda tangan (signature) seperti Permit dan Permit2, serta fitur batch signature dari EIP-7702 pasca-pembaruan jaringan Ethereum. Serangan-serangan ini tidak mengeksploitasi bug kontrak pintar, melainkan menyalahgunakan alur persetujuan pengguna—misalnya, ketika pengguna secara tidak sadar menyetujui transaksi berbahaya karena antarmuka dompet yang membingungkan.

Kasus terbesar tahun ini melibatkan pencurian $6,5 juta melalui serangan Permit signature. Hanya 11 insiden yang nilainya melebihi $1 juta, turun dari 30 kasus pada 2024. Ini menunjukkan bahwa meskipun volume serangan menurun, pelaku tetap fokus pada target bernilai tinggi.

Mengapa Pasar Masih Khawatir Meski Angka Turun?

Penurunan angka kerugian memang menggembirakan, tetapi pola waktunya mengkhawatirkan. Data menunjukkan bahwa kerugian mencapai puncaknya pada kuartal ketiga 2025—tepat saat harga Ethereum naik dan aktivitas perdagangan meningkat. Bulan Agustus saja mencatat kerugian $12,17 juta, sementara Desember hanya $2 juta. Ini mengonfirmasi dugaan lama: penipu kripto sengaja menargetkan periode volatilitas tinggi ketika pengguna lebih terburu-buru dan kurang waspada.

“Angka yang turun bukan berarti kita aman—itu hanya berarti penyerang sedang menyesuaikan strategi mereka,” kata seorang analis keamanan on-chain yang enggan disebutkan namanya.

Dampak Potensial bagi Pengguna dan Ekosistem

Penurunan kerugian phishing mencerminkan kemajuan nyata dalam perlindungan pengguna. Banyak dompet kini dilengkapi peringatan lebih jelas, alat pencabutan persetujuan (approval revocation), dan integrasi dengan layanan pemantauan on-chain. Namun, risiko belum hilang. Berikut beberapa dampak potensial yang perlu diperhatikan:

• Pergeseran risiko ke pengguna akhir: Semakin banyak tanggung jawab keamanan beralih ke pengguna, terutama dalam memahami apa yang mereka setujui.
• Evolusi teknik serangan: Fitur baru seperti EIP-7702 bisa dimanfaatkan untuk menipu pengguna melalui tanda tangan batch yang tampak sah.
• Ketergantungan pada alat pihak ketiga: Efektivitas perlindungan kini bergantung pada kualitas integrasi dompet dengan layanan keamanan eksternal.
• Siklus ancaman yang berulang: Setiap kali pasar kripto mengalami rally besar, kemungkinan lonjakan phishing kembali meningkat.

Apa yang Masih Belum Pasti?

Meskipun tren positif terlihat jelas, ada beberapa ketidakpastian penting. Pertama, apakah penurunan ini bersifat struktural (karena sistem keamanan membaik) atau hanya sementara (karena pasar sedang tenang)? Kedua, seberapa cepat pelaku akan mengadaptasi teknik baru terhadap fitur dompet generasi berikutnya? Ketiga, sejauh mana regulator dan bursa benar-benar berkontribusi—atau apakah perubahan ini hampir seluruhnya didorong oleh inisiatif pengembang dompet dan komunitas keamanan?

Yang pasti, laporan ini menegaskan satu hal: keamanan kripto bukan soal "sekali aman, selamanya aman". Ini adalah perlombaan senjata yang terus berlangsung antara pengguna, pengembang, dan penjahat siber.

Pertanyaan yang Sering Diajukan

Apa itu serangan Permit signature?

Serangan Permit signature mengeksploitasi fitur Ethereum yang memungkinkan pengguna menyetujui transaksi tanpa membayar gas. Penyerang membuat pengguna menandatangani pesan yang tampak tidak berbahaya, tetapi sebenarnya memberi akses penuh ke aset mereka. Ini berbeda dari phishing tradisional karena tidak melibatkan situs web palsu.

Apakah penurunan 83% berarti phishing sudah tidak berbahaya?

Tidak. Angka yang lebih rendah mencerminkan peningkatan pertahanan, tetapi ancaman tetap ada—dan bahkan menjadi lebih canggih. Serangan kini lebih selektif dan menargetkan pengguna yang kurang waspada selama periode aktivitas tinggi.

Mengapa kerugian paling tinggi saat harga Ethereum naik?

Saat pasar bullish, pengguna cenderung lebih aktif bertransaksi dan kurang hati-hati. Penipu memanfaatkan momentum ini dengan menyebarkan tautan palsu atau permintaan tanda tangan yang dikemas sebagai peluang investasi mendesak.

Apa yang bisa dilakukan pengguna untuk melindungi diri?

Pengguna disarankan untuk: (1) selalu memeriksa izin (approvals) yang diberikan ke kontrak, (2) hindari "blind signing" (menandatangani tanpa memahami isinya), (3) gunakan dompet yang mendukung peringatan risiko, dan (4) cabut izin yang tidak digunakan secara berkala.

Apakah regulator berperan dalam penurunan ini?

Laporan ini tidak memberikan bukti langsung bahwa tindakan regulator menyebabkan penurunan tersebut. Faktor utama tampaknya adalah peningkatan fitur keamanan di tingkat dompet dan kesadaran komunitas. Namun, tekanan regulasi mungkin secara tidak langsung mendorong bursa dan penyedia dompet untuk memperkuat perlindungan pengguna.