- BitoPro mengaku baru-baru ini bahwa peretasan pada Mei lalu terjadi saat proses upgrade sistem dompet internal.
- Aset yang dicuri dicuci melalui Tornado Cash dan Thorchain, lalu dipindahkan ke dompet Bitcoin anonim seperti Wasabi Wallet.
Sudah hampir sebulan berlalu sejak pengguna BitoPro mulai bertanya-tanya: kenapa penarikan tertunda, kenapa hot wallet kosong, dan kenapa tak ada penjelasan jelas selain “pemeliharaan?” Baru pada 2 Juni 2025, bursa kripto asal Taiwan itu akhirnya angkat bicara.
Mereka mengakui bahwa pada 8 Mei lalu, platform mengalami pelanggaran keamanan yang menyebabkan kerugian sekitar US$11,5 juta. Dana tersebut dicuri dari beberapa hot wallet yang aktif di jaringan seperti Ethereum, Tron, Solana, dan Polygon.
BitoPro, a Taiwanese crypto exchange, was likely hacked on May 8, 2025, losing around $11.5 million. Funds were drained from hot wallets across multiple chains and laundered via Tornado Cash and Thorchain. The exchange has not officially acknowledged the incident, citing…
— Wu Blockchain (@WuBlockchain) June 2, 2025
Ada Celah Saat Upgrade, Peretas Langsung Gas
Peretasan ini bukan sekadar pencurian biasa. Aset yang diambil kemudian dicuci melalui Tornado Cash dan Thorchain—dua protokol privasi yang memang kerap digunakan untuk menyamarkan jejak transaksi. Setelah itu, aset kripto yang sudah dikonversi dipindahkan lagi ke dompet Bitcoin anonim seperti Wasabi Wallet.
Peretas tahu betul apa yang mereka lakukan. Bahkan sebelum publik sadar ada yang aneh, mereka sudah beberapa langkah di depan.
Sementara itu, pengguna hanya diberi pesan singkat: sistem sedang dalam perawatan. Tak ada informasi, tak ada peringatan. Beberapa analis on-chain mulai curiga, dan investigasi dari ZachXBT ikut mendorong BitoPro untuk akhirnya mengakui insiden ini ke publik.
Dalam penjelasan resminya, mereka menyebut bahwa serangan terjadi saat proses peningkatan sistem dompet internal, ketika dana sedang dialihkan dari hot wallet lama ke dompet baru. Celah keamanan muncul di momen itulah.
Gelombang Peretasan, Tapi Taiwan Fokus Atur Stablecoin
Menariknya, pengakuan dari BitoPro datang di tengah situasi yang memang sedang panas-panasnya. Hanya beberapa hari setelah peretasan itu, tepatnya pada 15 Mei, Coinbase—bursa kripto terbesar di Amerika Serikat—juga mengumumkan bahwa mereka diserang.
Bedanya, ini bukan serangan ke sistem dompet, melainkan ke data pelanggan. Seorang kontraktor luar negeri menerima suap dari peretas untuk menyerahkan informasi akun. Setelah itu, tebusan senilai US$20 juta dalam bentuk Bitcoin diminta. Coinbase menolak. Biaya remediasi pun diperkirakan mencapai ratusan juta dolar.
Belum sempat pasar mencerna kabar tersebut, bursa DEX Cetus mengalami eksploitasi pada 22 Mei. Peretas memanfaatkan celah di bagian pemeriksaan bit paling signifikan (MSB) untuk mengacaukan parameter likuiditas. Akibatnya? Sekitar US$223 juta lenyap, meskipun sebagian besar berhasil dibekukan oleh jaringan Sui dan tim Cetus. Tapi tetap saja, ini jadi salah satu peretasan terbesar tahun ini.
Di tengah kondisi yang membuat kepala pening itu, CNF melaporkan bahwa Taiwan justru sedang bersiap meluncurkan kerangka hukum baru. RUU tentang penyedia layanan aset virtual (VASP) dijadwalkan dibahas bulan Juni. Salah satu poin menariknya: bank diizinkan menerbitkan stablecoin untuk kali pertama.
Stablecoin ini akan dijadikan jembatan antara uang fiat dan aset digital, dengan harapan bisa memberikan akses yang lebih aman bagi investor ritel maupun institusi.
Bukan cuma soal teknis regulasi. Jika dilihat lebih jauh, ini menunjukkan bahwa Taiwan tetap serius membangun infrastruktur kripto, meski ada kasus seperti BitoPro. Tapi tetap saja, kepercayaan publik tidak bisa hanya dibangun dengan kertas kebijakan. Ketika dana pengguna bisa hilang tanpa penjelasan selama hampir sebulan, semua janji soal keamanan terasa seperti tulisan di atas angin.
Kini, BitoPro sudah menunjuk tim keamanan pihak ketiga untuk mengusut asal-muasal serangan. Mereka juga akan merilis alamat hot wallet baru demi mendorong transparansi. Namun apakah itu cukup untuk meredam rasa kecewa pengguna? Itu soal lain.
