Operator Bitcoin ATM Bitcoin Depot pada 9 April mengajukan berkas ke Komisi Sekuritas dan Bursa Amerika Serikat (SEC), mengungkap adanya celah keamanan besar yang dialami perusahaan pada 23 Maret. Peretas memperoleh kredensial login untuk akun penyelesaian aset digital dengan membobol sistem TI perusahaan, lalu memindahkan sekitar 50,9 bitcoin tanpa otorisasi, dengan perkiraan kerugian sekitar 3.67M dolar berdasarkan nilai pasar saat aset dicuri.

Analisis Jalur Serangan: Bagaimana Kredensial IT Dicuri Dapat Menyebabkan BTC Mengalir Keluar

（Sumber：SEC）

Menurut dokumen pengungkapan SEC dari Bitcoin Depot, serangan ini melibatkan rantai penetrasi dan pemindahan yang menyeluruh:

Ringkasan Jalur Serangan dan Kerugian

Pembobolan Sistem IT：Para pelaku berhasil melakukan penetrasi ke sistem TI internal perusahaan, memperoleh kredensial login untuk akun penyelesaian aset digital

Pemindahan Dana Tanpa Otorisasi：Dengan memanfaatkan kredensial yang dicuri, transfer ilegal aset kripto dilakukan tanpa sepengetahuan siapa pun

Skala Kerugian：50,9 bitcoin, dengan estimasi kerugian 3.67M dolar berdasarkan nilai pasar saat pencurian

Dampak pada Klien：Platform ATM untuk pelanggan dan data pribadi pengguna tidak terkena dampak

Waktu Kejadian：Kelemahan terjadi pada 23 Maret 2026

Sampai saat artikel dipublikasikan, Bitcoin Depot belum mengeluarkan pernyataan publik apa pun mengenai kasus tersebut selain berkas SEC, dan juga belum menanggapi permintaan komentar dari media.

Langkah Respons Perusahaan dan Potensi Biaya Lanjutan

Setelah menemukan pembobolan, Bitcoin Depot mengaktifkan mekanisme penanganan insiden, merekrut pakar keamanan siber eksternal untuk menyelidiki jalur serangan dan mengamankan aset yang tersisa, sekaligus melapor ke aparat penegak hukum, tetapi tidak mengungkap secara spesifik lembaga mana saja yang terlibat dalam penyelidikan.

Perusahaan memperkirakan awal kerugian sebesar 3.67M dolar, namun berkas SEC tidak mengungkap apakah perusahaan memiliki asuransi pencurian aset digital, juga tidak menjelaskan potensi dampak kerugian ini terhadap operasional likuiditas bitcoin dalam seluruh jaringan mesin ATM. Bitcoin Depot secara tegas menyatakan bahwa risiko yang ditimbulkan oleh insiden ini mencakup kerusakan reputasi, biaya hukum, intervensi regulator, dan biaya respons darurat, yang mungkin membentuk beban keuangan jangka panjang bagi bisnis perusahaan.

Dari sisi respons pasar, saham BTM sempat melonjak 15% dalam perdagangan hari itu, dan ditutup pada 2,74 dolar, namun setelah pengungkapan berkas SEC, saham tersebut mengalami penurunan pada perdagangan setelah jam bursa. Perlu dicatat bahwa saham tersebut dalam 30 hari terakhir telah turun secara kumulatif sebesar 44%.

Insiden Keamanan Kedua：Tantangan Keamanan Sistemik yang Dihadapi Operator ATM

Ini adalah setidaknya insiden keamanan besar kedua yang diketahui oleh Bitcoin Depot—pada 2023, perusahaan pernah mengalami serangan siber lain yang menyebabkan kebocoran data pribadi sekitar 58k pengguna. Terjadinya dua insiden secara berurutan menyoroti tekanan sistemik yang dihadapi operator ATM bitcoin dalam hal perlindungan keamanan.

Karena operator ATM harus mempertahankan cadangan kripto dalam jumlah besar untuk mendukung transaksi pelanggan, mereka telah menjadi target serangan berulang yang sangat disukai oleh pelaku kejahatan dunia maya. Saat perusahaan-perusahaan ini menghubungkan infrastruktur uang tunai fisik dengan infrastruktur mata uang kripto, mereka juga harus mengelola sistem kustodi digital yang kompleks, sehingga menciptakan bidang serangan persilangan yang unik antara keamanan fisik dan keamanan jaringan.

Insiden ini terjadi pada saat Bitcoin Depot menghadapi pengawasan regulasi yang semakin ketat—pada bulan Februari tahun ini, perusahaan, di bawah tekanan dari lembaga pengawas, menerapkan persyaratan verifikasi identitas yang lebih ketat untuk semua transaksi ATM guna memperkuat kemampuan pemalsuan pencegahan dan kepatuhan anti pencucian uang.

FAQ

Berapa jumlah kerugian akibat peretasan Bitcoin Depot?

Menurut dokumen yang diajukan Bitcoin Depot ke SEC, peretas mencuri sekitar 50,9 bitcoin, dengan estimasi kerugian sekitar 58k dolar berdasarkan nilai pasar saat pencurian. Perusahaan belum mengungkap apakah memiliki asuransi pencurian aset digital, dan juga belum menjelaskan potensi dampak kerugian terhadap operasional likuiditas ATM.

Apakah data pribadi pelanggan terpengaruh oleh peretasan ini?

Bitcoin Depot secara tegas menyatakan dalam berkas SEC bahwa platform ATM untuk pelanggan dan data pribadi pengguna tidak terpengaruh oleh peretasan ini. Insiden ini terutama berdampak pada akun penyelesaian aset digital internal perusahaan, dengan memisahkan sistem sisi klien.

Ini adalah insiden keamanan keberapa bagi Bitcoin Depot?

Ini merupakan insiden keamanan besar kedua setidaknya yang diketahui oleh Bitcoin Depot. Pada 2023, perusahaan pernah mengalami serangan siber lain yang menyebabkan kebocoran data pribadi sekitar 58k pengguna, membentuk pola berulang insiden keamanan yang mengkhawatirkan.

Penafian: Informasi di halaman ini dapat berasal dari pihak ketiga dan tidak mewakili pandangan atau opini Gate. Konten yang ditampilkan hanya untuk tujuan referensi dan bukan merupakan nasihat keuangan, investasi, atau hukum. Gate tidak menjamin keakuratan maupun kelengkapan informasi dan tidak bertanggung jawab atas kerugian apa pun yang timbul akibat penggunaan informasi ini. Investasi aset virtual memiliki risiko tinggi dan rentan terhadap volatilitas harga yang signifikan. Anda dapat kehilangan seluruh modal yang diinvestasikan. Harap pahami sepenuhnya risiko yang terkait dan buat keputusan secara bijak berdasarkan kondisi keuangan serta toleransi risiko Anda sendiri. Untuk detail lebih lanjut, silakan merujuk ke Penafian.