Kimchi Premium vs. Peretas Negara: Perang Siber Tersembunyi Korea Utara-Selatan Setelah Berulang Kali Terjadi Pelanggaran Keamanan Upbit

Pulihnya pasar kripto diiringi oleh kembali terjadinya pelanggaran keamanan di bursa.

Pada 27 November, Upbit—bursa kripto terbesar di Korea Selatan—mengumumkan insiden keamanan besar yang mengakibatkan hilangnya aset sekitar KRW 54 miliar (USD 36,8 juta).

Pada pukul 04.42 waktu Korea Selatan (KST), saat mayoritas trader Korea masih terlelap, hot wallet Solana milik Upbit mengalami arus keluar dana dalam jumlah besar secara abnormal.

Perusahaan keamanan blockchain seperti SlowMist melaporkan bahwa pelaku tidak hanya menargetkan satu aset, melainkan melakukan pencurian menyeluruh atas kepemilikan Upbit di jaringan Solana.

Aset yang dicuri meliputi token utama seperti SOL dan USDC, serta hampir seluruh token SPL terkemuka di ekosistem Solana.

Daftar sebagian aset yang dicuri:

• DeFi/Infrastruktur: JUP (Jupiter), RAY (Raydium), PYTH (Pyth Network), JTO (Jito), RENDER, IO, dan lainnya.
• Meme/Komunitas: BONK, WIF, MOODENG, PENGU, MEW, TRUMP, dan lainnya.
• Proyek lain: ACS, DRIFT, ZETA, SONIC, dan lainnya.

Pencurian menyeluruh ini menunjukkan pelaku kemungkinan besar berhasil mengakses private key hot wallet Solana Upbit atau berhasil membobol server penandatanganan, sehingga dapat mengotorisasi dan mentransfer seluruh token SPL yang tersimpan di wallet.

Bagi Upbit, yang menguasai 80% pasar kripto Korea Selatan dan memiliki sertifikasi keamanan tertinggi dari Korea Internet & Security Agency (KISA), insiden ini sangat merugikan.

Namun, ini bukan kali pertama bursa Korea Selatan mengalami peretasan.

Jika melihat rekam jejaknya, pasar kripto Korea Selatan telah menjadi target konsisten para peretas—terutama dari Korea Utara—selama delapan tahun terakhir.

Pasar kripto Korea Selatan bukan hanya pusat spekulasi ritel, tetapi juga menjadi “ATM” favorit bagi peretas Korea Utara.

Delapan Tahun Konflik Siber Korea Utara-Korea Selatan: Kronologi Pelanggaran Bursa

Metode serangan telah berkembang dari brute-force menjadi rekayasa sosial yang canggih, dan daftar bursa Korea Selatan yang menjadi sasaran semakin panjang.

Total kerugian: Sekitar KRW 200 miliar (USD 200 juta pada saat pencurian; lebih dari USD 1,2 miliar pada nilai saat ini, dengan 342.000 ETH yang dicuri dari Upbit tahun 2019 sekarang bernilai lebih dari USD 1 miliar)

• 2017: Wild West—Peretas Menargetkan Komputer Karyawan

Tahun 2017 menandai awal bull market kripto sekaligus mimpi buruk bagi bursa Korea Selatan.

Bithumb, bursa terbesar di Korea Selatan, menjadi korban besar pertama. Pada bulan Juni, peretas membobol komputer pribadi karyawan Bithumb dan mencuri data pribadi sekitar 31.000 pengguna. Dengan data tersebut, mereka melakukan serangan phishing terarah dan menggasak sekitar KRW 32 miliar (USD 32 juta). Penyelidikan mengungkapkan data pelanggan tidak terenkripsi tersimpan di perangkat karyawan, dan pembaruan keamanan dasar tidak dijalankan.

Insiden ini menunjukkan lemahnya manajemen keamanan bursa Korea Selatan saat itu—aturan dasar seperti larangan penyimpanan data pelanggan di komputer pribadi bahkan belum diterapkan.

Keruntuhan bursa menengah Youbit bahkan lebih berdampak. Dalam satu tahun, Youbit mengalami dua peretasan besar: hampir 4.000 BTC (sekitar KRW 5 miliar atau USD 5 juta) hilang pada April, dan 17% aset kembali dicuri pada Desember. Tidak mampu bangkit, Youbit menyatakan bangkrut, sehingga pengguna hanya dapat menarik 75% saldo, sisanya harus melalui proses kepailitan yang panjang.

Setelah insiden Youbit, KISA untuk pertama kalinya secara terbuka menuduh Korea Utara sebagai dalang serangan, mengirim sinyal tegas ke pasar:

Bursa kini menghadapi kelompok peretas negara dengan motif geopolitik, bukan sekadar penjahat siber.

• 2018: Perampokan Hot Wallet

Juni 2018 terjadi rangkaian serangan ke pasar Korea Selatan.

Pada 10 Juni, bursa menengah Coinrail diretas, kehilangan lebih dari KRW 40 miliar (USD 40 juta). Berbeda dari insiden sebelumnya, peretas menargetkan token ICO (seperti NPXS dari Pundi X), bukan Bitcoin atau Ethereum. Berita ini memicu penurunan harga Bitcoin lebih dari 10%, dan pasar kripto kehilangan lebih dari USD 4 miliar hanya dalam dua hari.

Sepuluh hari kemudian, bursa utama Bithumb diretas, kehilangan sekitar KRW 31 miliar (USD 31 juta) dalam bentuk XRP dan token lain dari hot wallet. Ironisnya, beberapa hari sebelum kejadian, Bithumb mengumumkan di Twitter bahwa mereka sedang “memindahkan aset ke cold wallet untuk meningkatkan sistem keamanan.”

Ini adalah peretasan ketiga Bithumb dalam 18 bulan.

Rangkaian pelanggaran ini sangat merusak kepercayaan pasar. Kementerian Sains dan ICT mengaudit 21 bursa domestik, hanya 7 yang lolos dari 85 pemeriksaan keamanan. Sisanya 14 “berisiko tinggi diretas,” dengan 12 menunjukkan kelemahan serius dalam manajemen cold wallet.

• 2019: Pencurian 342.000 ETH Upbit

Pada 27 November 2019, Upbit mengalami pencurian kripto tunggal terbesar di Korea Selatan.

Peretas memanfaatkan proses konsolidasi wallet untuk mentransfer 342.000 ETH dalam satu transaksi. Alih-alih langsung menjual aset, mereka menggunakan teknik “peel chain” untuk membagi dana ke banyak transaksi kecil dan menyebarkan transfer melalui puluhan bursa tanpa KYC dan mixer.

Penyelidikan menemukan bahwa 57% ETH yang dicuri ditukar dengan Bitcoin dengan diskon 2,5% di bursa yang diduga dioperasikan Korea Utara, sementara 43% sisanya dicuci melalui 51 bursa di 13 negara.

Baru pada November 2024—lima tahun kemudian—polisi Korea Selatan secara resmi mengonfirmasi serangan tersebut dilakukan oleh Lazarus Group dan Andariel dari Korea Utara. Penyelidik melacak alamat IP, menganalisis aliran dana, dan menemukan kode khusus Korea Utara seperti “흘한 일” (“tidak penting”) dalam perangkat lunak serangan.

Otoritas Korea Selatan, bekerja sama dengan FBI, menghabiskan empat tahun melacak aset, akhirnya berhasil memulihkan 4,8 BTC (sekitar KRW 600 juta) dari bursa Swiss dan mengembalikannya ke Upbit pada Oktober 2024.

Dibandingkan total yang dicuri, pemulihan ini sangat kecil.

• 2023: Insiden GDAC

Pada 9 April 2023, bursa menengah GDAC diretas, kehilangan sekitar KRW 13 miliar (USD 13 juta)—23% dari total aset yang dikelola.

Aset yang dicuri meliputi sekitar 61 BTC, 350 ETH, 10 juta token WEMIX, dan 220.000 USDT. Peretas menguasai hot wallet GDAC dan segera mencuci sebagian dana melalui Tornado Cash.

• 2025: Upbit Diretas Lagi—Enam Tahun Setelah Insiden Sebelumnya

Pada 27 November, enam tahun setelah insiden sebelumnya, Upbit kembali mengalami pencurian besar.

Pukul 04.42, hot wallet Solana Upbit mengalami arus keluar abnormal, sekitar KRW 54 miliar (USD 36,8 juta) dipindahkan ke alamat yang tidak diketahui.

Pasca peretasan Upbit 2019, Korea Selatan menerapkan Undang-Undang Khusus (Special Act) pada 2020 yang mewajibkan sertifikasi ISMS dan rekening bank nama asli untuk seluruh bursa. Banyak bursa kecil keluar dari pasar, menyisakan segelintir raksasa. Upbit, didukung Kakao dan tersertifikasi, menguasai lebih dari 80% pangsa pasar.

Meski enam tahun reformasi regulasi, Upbit tetap tidak kebal dari serangan lanjutan.

Sampai artikel ini diterbitkan, Upbit berkomitmen mengganti seluruh kerugian pengguna terdampak, namun detail pelaku dan metode belum diungkapkan.

“Kimchi Premium”, Peretas Negara, dan Senjata Nuklir

Frekuensi insiden keamanan di bursa Korea Selatan bukan sekadar kegagalan teknis—namun merefleksikan realitas geopolitik yang tragis.

Di pasar yang sangat terpusat, kaya likuiditas, dan unik secara geografis, bursa Korea Selatan harus bertahan dengan anggaran keamanan komersial melawan unit peretas negara yang berambisi nuklir.

Unit ini dikenal sebagai Lazarus Group.

Lazarus beroperasi di bawah Reconnaissance General Bureau (RGB) Korea Utara dan merupakan salah satu tim perang siber paling elit di Pyongyang.

Sebelum menargetkan kripto, Lazarus telah membuktikan kemampuannya di sektor keuangan tradisional.

Mereka meretas Sony Pictures pada 2014, mencuri KRW 81 miliar (USD 81 juta) dari Bank Bangladesh pada 2016, dan meluncurkan serangan ransomware WannaCry pada 2017 yang berdampak pada 150 negara.

Sejak 2017, Lazarus mengalihkan fokus ke kripto karena alasan sederhana:

Bursa kripto kurang diatur, standar keamanan tidak konsisten, dan dana curian dapat dengan cepat dipindahkan lintas negara secara on-chain, melewati sanksi internasional.

Korea Selatan menjadi target ideal.

Pertama, secara geopolitik adalah rival alami. Menyerang bisnis Korea Selatan memberi Korea Utara dana sekaligus menciptakan kekacauan di negara “musuh.”

Kedua, “kimchi premium” menciptakan kolam likuiditas yang sangat menarik. Investor ritel Korea Selatan dikenal antusias, mendorong permintaan dan menciptakan premi berkelanjutan saat KRW memburu aset kripto yang terbatas.

Artinya, hot wallet bursa Korea Selatan menyimpan likuiditas jauh lebih besar dibandingkan pasar lain—ladang emas bagi peretas.

Ketiga, bahasa menjadi keunggulan. Lazarus sangat mahir dalam rekayasa sosial—lowongan kerja palsu, email phishing, menyamar sebagai layanan pelanggan untuk memperoleh kode verifikasi.

Tanpa hambatan bahasa, serangan phishing terarah (spear phishing) pada karyawan dan pengguna Korea Selatan jauh lebih efektif.

Kemana dana curian mengalir? Inilah inti dari permasalahan ini.

Laporan PBB dan perusahaan analitik blockchain telah menelusuri kripto curian oleh Lazarus ke program nuklir dan misil Korea Utara.

Sebelumnya, Reuters mengutip laporan rahasia PBB yang menunjukkan Korea Utara menggunakan kripto curian untuk mendanai pengembangan misil.

Pada Mei 2023, Wakil Penasihat Keamanan Nasional Gedung Putih Anne Neuberger menyatakan sekitar 50% pendanaan program misil Korea Utara berasal dari serangan siber dan pencurian kripto, naik dari “sekitar sepertiga” pada Juli 2022.

Sederhananya, setiap peretasan bursa Korea Selatan bisa jadi secara tidak langsung mendukung pengembangan hulu ledak nuklir di seberang DMZ.

Proses pencucian dana kini sangat canggih: aset dipecah menjadi banyak transaksi kecil dengan teknik “peel chain”, dicampur melalui Tornado Cash atau Sinbad, ditukar dengan Bitcoin dengan diskon di bursa yang dioperasikan Korea Utara, dan akhirnya dikonversi ke fiat melalui jalur bawah tanah di Tiongkok dan Rusia.

Untuk 342.000 ETH yang dicuri dari Upbit tahun 2019, polisi Korea Selatan melaporkan 57% ditukar dengan Bitcoin di tiga bursa Korea Utara dengan diskon 2,5%, sementara 43% sisanya dicuci melalui 51 bursa di 13 negara. Sebagian besar dana masih belum pulih hingga kini.

Hal ini menyoroti dilema utama yang dihadapi bursa Korea Selatan:

Di satu sisi, Lazarus memiliki sumber daya negara, investasi tanpa batas, dan operasi 24/7. Di sisi lain, perusahaan komersial seperti Upbit dan Bithumb harus bertahan dari ancaman negara yang terus-menerus.

Bahkan bursa terbesar dengan audit keamanan ketat pun tetap kesulitan menghadapi serangan negara yang berkelanjutan.

Ini Bukan Hanya Masalah Korea Selatan

Delapan tahun, lebih dari selusin serangan, dan kerugian KRW 200 miliar (USD 200 juta)—jika Anda menganggap ini hanya persoalan lokal Korea Selatan, Anda melewatkan gambaran besarnya.

Pengalaman bursa Korea Selatan menjadi gambaran awal perjuangan industri kripto melawan musuh negara.

Korea Utara memang paling terkenal, namun bukan satu-satunya. Grup ancaman Rusia dikaitkan dengan serangan DeFi; peretas Iran menargetkan perusahaan kripto Israel; dan Korea Utara memperluas jangkauan globalnya, seperti terlihat pada peretasan Bybit senilai USD 1,5 miliar di tahun 2025 dan pelanggaran Ronin sebesar USD 625 juta pada 2022 yang berdampak pada korban di seluruh dunia.

Industri kripto menghadapi tantangan mendasar: seluruh aliran melewati gateway terpusat.

Seaman apa pun blockchain, aset pada akhirnya melewati bursa, bridge, dan hot wallet—target utama bagi pelaku serangan.

Node-node ini mengonsentrasikan dana besar namun dikelola perusahaan komersial dengan sumber daya terbatas, sehingga menjadi sasaran ideal bagi peretas negara.

Sumber daya pembela dan penyerang sangat tidak seimbang. Lazarus bisa gagal seratus kali; bursa hanya bisa gagal sekali.

“Kimchi premium” akan terus menarik arbitrase global dan investor ritel lokal. Lazarus tidak akan berhenti hanya karena terungkap, dan pertarungan antara bursa Korea Selatan dan peretas negara masih jauh dari selesai.

Semoga dana yang dicuri berikutnya bukan milik Anda.

Pernyataan:

1. Artikel ini diterbitkan ulang dari [TechFlow]. Hak cipta milik penulis asli [TechFlow]. Untuk pertanyaan terkait publikasi ulang, silakan hubungi tim Gate Learn untuk penanganan sesuai prosedur.
2. Disclaimer: Pandangan dan opini yang disampaikan dalam artikel ini sepenuhnya milik penulis dan tidak merupakan nasihat investasi.
3. Versi bahasa lain diterjemahkan oleh tim Gate Learn. Kecuali Gate disebutkan, artikel terjemahan tidak boleh disalin, didistribusikan, atau dijiplak.