Zero Hour Tech memulai tinjauan insiden keamanan bulanan! Menurut statistik dari beberapa platform pemantau keamanan blockchain, situasi keamanan di bidang kripto pada Februari 2026 secara keseluruhan stabil tetapi risikonya menonjol: total kerugian akibat insiden keamanan bulan tersebut mencapai sekitar $228 juta, di mana kerugian terkait serangan peretas dan kerentanan kontrak mencapai sekitar $126 juta, sementara kerugian terkait penipuan phishing dan Rug Pull mencapai sekitar $102 juta. Terjadi 18 serangan peretas terhadap protokol, dengan kerugian turun 9,2% dibanding bulan sebelumnya; terjadi 13 insiden penipuan phishing dan pembajakan otorisasi, yang menyumbang 41,9% dari total insiden bulan tersebut, di mana beberapa insiden phishing palsu AI menyebabkan kerugian besar, menjadi penyebab utama meningkatnya kerugian jenis penipuan. Fokus serangan kelompok peretas terus bergeser ke serangan sosial engineering berbiaya rendah dan beruntung tinggi, dengan teknik phishing presisi yang menggabungkan halaman yang dihasilkan AI semakin umum, menjadikan investor perorangan dan proyek skala kecil-menengah sebagai target utama.
Aspek serangan peretas
6 insiden keamanan tipikal
• Serangan kerentanan verifikasi kontrak jembatan lintas rantai CrossCurve
Jumlah kerugian: sekitar $3 juta
Rincian insiden: Pada 1 Februari - 2 Februari, protokol lintas rantai terdesentralisasi CrossCurve mengalami serangan peretasan, di mana penyerang memanfaatkan kerentanan bypass verifikasi gateway pada fungsi expressExecute dari kontrak ReceiverAxelar untuk memalsukan pesan lintas rantai, membuka dan mencuri token tanpa otorisasi dari kontrak PortalV2 protokol, yang melibatkan beberapa rantai, dengan total kerugian sekitar $3 juta. Setelah insiden tersebut, tim CrossCurve segera menghentikan layanan lintas rantai, memperbaiki kerentanan, dan mengumumkan 10 alamat penerima token yang dicuri, menawarkan skema hadiah 10% bagi yang mengembalikan dana dalam waktu 72 jam. Saat ini, situasi telah berhasil dikendalikan, sebagian token EYWA yang dicuri tidak dapat diperdagangkan karena pembekuan oleh bursa.
• Serangan AI pada kerentanan kode smart contract Vibe Coding (protokol Moonwell)
Jumlah kerugian: sekitar $1,78 juta
Rincian insiden: Pada 18 Februari, protokol DeFi Moonwell diserang oleh peretas, dengan penyebab utama adanya kerentanan mematikan pada kode kontrak pintar yang dihasilkan oleh Claude Opus 4.6, yang secara salah menetapkan harga aset cbETH sebesar $1,12 (sebenarnya sekitar $2.200). Peretas memanfaatkan penyimpangan harga ini untuk meminjam berlebihan, menyebabkan kerugian sekitar $1,78 juta. Seorang peneliti keamanan mengungkap insiden ini sebagai insiden keamanan on-chain pertama dalam sejarah yang disebabkan oleh Vibe Coding. Setelah insiden tersebut, tim proyek menarik kontrak terkait, memulai perbaikan kerentanan, dan memperkuat proses audit manual terhadap kode yang dihasilkan oleh AI.
Serangan manipulasi oracle YieldBloxDAO
Jumlah kerugian: sekitar $10 juta
Detail insiden: Pada 21 Februari, protokol pinjaman di rantai Stellar, YieldBloxDAO, diserang oleh peretas yang memanfaatkan anomali harga oracle dengan memanipulasi harga token likuiditas dasar untuk melakukan pinjaman berlebihan jahat, mengakibatkan kerugian aset sekitar $10 juta. Setelah insiden tersebut, tim proyek menghentikan layanan protokol dan bekerja sama dengan lembaga keamanan untuk melacak aset dan memperbaiki kerentanan.
• Serangan kebocoran kunci pribadi vault token IoTeX
Jumlah kerugian: sekitar $4,4 juta
Rincian insiden: Pada 21 Februari, jembatan lintas rantai ioTube dari ekosistem IoTeX mengalami serangan peretas. Pelaku berhasil menyerang kontrak terkait jembatan lintas rantai dengan memperoleh kunci pribadi pemilik validator sisi Ethereum, mencuri berbagai aset kripto dari kolam. Pihak resmi IoTeX telah beberapa kali memperbarui pernyataan, mengonfirmasi kerugian aktual dari serangan ini sekitar $4,4 juta, di mana 99,5% pencetakan aset abnormal telah diintersepsi atau dibekukan secara permanen. Setelah insiden terjadi, tim proyek segera menangguhkan fungsi jembatan lintas rantai dan transaksi terkait, memulai pembaruan versi mainnet, memblokir 29 alamat jahat, serta bekerja sama dengan FBI dan lembaga penegak hukum berbagai negara dalam pelacakan aset global, menjanjikan kompensasi 100% penuh kepada pengguna yang terdampak, dan kini telah sepenuhnya pulih beroperasi.
• Insiden serangan tiruan FOOMCASH
Jumlah kerugian: sekitar $2,26 juta
Detail insiden: Pada 26 Februari, proyek FOOMCASH di rantai Base dan Ethereum mengalami serangan peniruan (copycat attack), di mana penyerang memanfaatkan kesalahan konfigurasi kunci verifikasi zkSNARK (pengaturan parameter verifier Groth16 yang tidak tepat) yang serupa dengan insiden Veil Cash sebelumnya, berhasil memalsukan bukti dan mencuri sejumlah besar token. Kerugian di rantai Base sekitar $427.000, sedangkan di rantai Ethereum sekitar $1,833,000 (sebagian dana diduga diselamatkan oleh white hat), dengan total kerugian sekitar $2,26 juta. Setelah insiden ini, tim proyek segera menghentikan layanan terkait dan melakukan investigasi.
Serangan kerentanan pemanggilan sembarangan pada protokol Seneca DeFi
Jumlah kerugian: sekitar $6,5 juta
Rincian insiden: Pada 28 Februari, protokol DeFi Seneca diserang oleh peretas karena kerentanan panggilan sewenang-wenang, dengan kerugian awal lebih dari 1.900 ETH, senilai sekitar $6,5 juta. Setelah serangan, alamat peretas yang ditandai sebagai SenecaUSD telah mengembalikan 1.537 ETH (sekitar $5,3 juta) ke alamat deployer Seneca, sementara 300 ETH tersisa (sekitar $1,04 juta) dipindahkan ke alamat baru. Saat ini, tim proyek sedang melakukan perbaikan kerentanan dan verifikasi aset.
Rug Pull / Penipuan钓鱼
8 insiden keamanan tipikal
(1) Pada 10 Februari, korban dengan alamat yang dimulai dengan 0x6825 menandatangani transaksi jahat "increaseAllowance" di BSC, menyebabkan kerugian BUSD senilai $118.785. Kebanyakan orang akan memperhatikan tanda tangan otorisasi dan permintaan persetujuan, tetapi "increaseAllowance" sebenarnya adalah jebakan yang sama, hanya saja namanya kurang umum.
(2) 17 Februari, alamat keracunan/pendapat serupa kembali muncul. Di Ethereum, 0xce31…b89b mengirimkan sekitar $599.714 ke alamat serupa yang salah.
Perkiraan: 0x77f6ca8E…a346
Kesalahan: 0x77f6A6F6…A346
(3) Pada 18 Februari, alamat yang dimulai dengan 0x308a menjadi korban yang menandatangani persetujuan USDT jahat (approve(address,uint256)), menyebabkan sekitar 337.069 dolar AS USDT ditransfer ke dompet penipu.
(4) Pada 18 Februari, seorang korban mengirimkan $157.000 ke alamat yang mirip setelah menyalin riwayat transfer yang terkontaminasi.
Diperkirakan: 0xa7a9c35a…03F0 → Dikirim ke: 0xa7A00BD2…03F0
(5) Pada 25 Februari, korban dengan alamat yang dimulai dengan 0xb30 kehilangan $388.051 setelah menandatangani persetujuan token phishing di Ethereum.
(6) Penipuan phishing verifikasi palsu dompet keras
Waktu: 12 Februari
Jenis insiden: Peretas memalsukan halaman verifikasi resmi dari dompet perangkat keras populer, mengirimkan "peringatan risiko keamanan dompet" melalui email dan SMS untuk memancing pengguna memasukkan kata sandi pemulihan dan kunci pribadi untuk "verifikasi keamanan", berhasil mendapatkan kata sandi pemulihan dari beberapa pengguna dan mencuri aset akun mereka, dengan total kerugian sekitar $950.000.
(7) Penyanderaan alamat DEX palsu Rug Pull
Waktu: 17 Februari
Jenis insiden: Peretas mengubah alamat transfer pengguna dan memalsukan antarmuka transaksi DEX untuk menipu pengguna agar mentransfer dana ke alamat palsu. Setelah transfer selesai, dana segera dikumpulkan ke beberapa alamat anonim, dengan total kerugian sekitar $600.000 USDT, melibatkan lebih dari 200 korban. Berdasarkan pemantauan, kerugian tertinggi per korban dalam serangan ini mencapai sekitar $600.000.
(8) Penipuan situs web phishing palsu yang meniru Uniswap resmi
Waktu: 19 Februari – 26 Februari
Sifat insiden: Hacker membeli iklan pencarian Google, membuat situs phishing yang sangat mirip dengan antarmuka resmi Uniswap, menarik pengguna melalui iklan media sosial dan pesan pribadi, mendorong pengguna untuk mengklik tautan dan memberikan otorisasi, lalu menggunakan alat pembersih dompet AngelFerno untuk mencuri aset kripto pengguna secara massal. Sebagian korban tertipu karena kesulitan membedakan domain palsu dari alamat asli secara visual. Lebih dari 1.000 korban dalam satu bulan, dengan total kerugian sekitar $1,8 juta.
Summary
Pada Februari 2026, risiko keamanan blockchain menunjukkan ciri-ciri serangan kontrak yang masih sering terjadi dan metode penipuan yang terus menjadi lebih halus. Serangan peretas terutama berfokus pada manipulasi orakel, keamanan jembatan lintas rantai, kerentanan izin kontrak, dan cacat kode, dengan peningkatan penggunaan ulang dan peniruan serangan yang secara signifikan meningkatkan ancaman terhadap protokol menengah dan kecil.
Penipuan masih terutama menggunakan metode phishing authorization, situs web palsu, dan skema Ponzi yang kabur, sementara halaman dan iklan palsu berbasis AI semakin meningkatkan tingkat kebersembunyian penipuan, membuat identifikasi oleh pengguna biasa semakin sulit.
Tim keamanan ZeroTime merekomendasikan: pengguna pribadi harus berhati-hati dalam memberikan otorisasi, memverifikasi alamat resmi, serta menjauhi tautan tidak dikenal dan proyek berisiko tinggi; pihak proyek harus memperkuat audit kontrak, manajemen kunci pribadi, dan isolasi wewenang, serta menekankan keamanan dalam skenario oracle dan lintas rantai; di tingkat industri, perlu memperkuat berbagi intel ancaman dan meningkatkan kemampuan pertahanan menyeluruh untuk bersama-sama menjaga keamanan ekosistem.