Gempa besar dalam penyimpanan cryptocurrency! DMM Jepang diretas dengan kerugian 312 juta dan diperkirakan akan mewajibkan pendaftaran paksa pada tahun 2026

日本金融廳（FSA） mempertimbangkan untuk mewajibkan penyedia layanan kustodian dan pengelolaan transaksi cryptocurrency untuk mendaftar kepada otoritas, dan sebuah kelompok kerja membahas isu ini pada 7 November. Rencana ini bertujuan membatasi bursa hanya menggunakan penyedia layanan terdaftar. Langkah ini dipicu oleh serangan hacker terhadap DMM Bitcoin pada tahun 2024, di mana sekitar 48,2 miliar yen Jepang (sekitar 312 juta dolar AS) dalam bentuk Bitcoin dicuri, dengan titik masuk peretasan yang dikonfirmasi berasal dari outsourcing Ginco.

DMM Diretas 312 Juta Dolar Mendorong Revolusi Regulasi

Menurut laporan dari Nikkei News pada 7 November, sebuah kelompok kerja di bawah Komite Sistem Keuangan yang merupakan bagian dari lembaga konsultasi perdana menteri Jepang membahas regulasi baru terkait kustodian cryptocurrency. Pemicu langsung diskusi ini adalah insiden serangan hacker terhadap DMM Bitcoin yang mengguncang komunitas crypto Jepang pada tahun 2024. Dalam insiden tersebut, Bitcoin senilai sekitar 48,2 miliar yen Jepang (sekitar 312 juta dolar AS) dicuri, menjadikannya salah satu insiden keamanan terbesar dalam sejarah cryptocurrency Jepang.

Yang lebih mengejutkan adalah titik masuk peretasan. Investigasi menunjukkan bahwa pelaku tidak langsung menembus sistem bursa Bitcoin DMM, melainkan melalui outsourcing mereka—perusahaan perangkat lunak Ginco yang berbasis di Tokyo—yang kemudian disusupi. DMM mengalihdayakan pengelolaan transaksi mereka ke Ginco, dan sistem Ginco memiliki celah keamanan yang menjadi titik lemah dalam rantai keamanan. Mode serangan ini dikenal sebagai “serangan rantai pasokan,” yang mengungkap kekurangan fatal dalam sistem kustodian cryptocurrency saat ini.

Berdasarkan regulasi yang berlaku, bursa cryptocurrency harus mengelola dana pelanggan secara ketat, termasuk menyimpan aset pengguna dalam cold wallet. Setelah kejadian peretasan Coincheck pada 2017 yang menyebabkan kerugian sebesar 530 juta dolar AS, Jepang telah membangun salah satu kerangka pengawasan bursa paling ketat di dunia. Namun, Nikkei News menunjukkan bahwa saat ini belum ada ketentuan serupa untuk penyedia layanan pihak ketiga yang bekerja sama dengan bursa. Celah pengawasan ini menjadi akar permasalahan kasus DMM.

Pelajaran dari kasus DMM sangat menyakitkan. Bahkan jika bursa mematuhi semua regulasi keamanan, menyimpan aset dalam cold wallet dan menerapkan multi-signature, jika penyedia pihak ketiga yang mereka andalkan memiliki celah, semua langkah perlindungan bisa sia-sia. Peretas tidak perlu menembus sistem inti bursa secara langsung, cukup menemukan titik lemah dalam rantai pasokan. Mode serangan ini dikenal sebagai “serangan rantai pasokan,” yang semakin marak di bidang keamanan siber dan juga di sektor keuangan dan teknologi.

Sebagian besar anggota kelompok kerja mendukung sistem baru yang diusulkan dan menyerukan kejelasan regulasi aset digital. Konsensus ini menunjukkan betapa besar dampak kasus DMM terhadap pengawasan di Jepang. Ketika satu insiden menyebabkan kerugian sebesar 312 juta dolar AS, regulator memiliki alasan kuat untuk mengambil tindakan tegas menutup celah sistem.

Inti Regulasi Pendaftaran Kustodian Cryptocurrency

FSA berencana mewajibkan penyedia layanan kustodian dan transaksi untuk mendaftar kepada otoritas pengawas, serta mewajibkan bursa hanya menggunakan sistem dari penyedia terdaftar. Dilaporkan bahwa langkah ini bertujuan mengatasi celah keamanan yang berpotensi menyebabkan pencurian atau gangguan sistem. Inti dari sistem ini adalah memasukkan penyedia layanan pihak ketiga ke dalam kerangka regulasi yang sama dengan bursa, menghilangkan celah pengawasan.

Regulasi pendaftaran diperkirakan akan mencakup beberapa persyaratan utama. Rasio modal yang cukup memastikan penyedia memiliki kekuatan finansial yang memadai untuk menanggung kerugian potensial, dan mampu memberi ganti rugi kepada pelanggan jika terjadi insiden keamanan. Kewajiban audit keamanan mengharuskan mereka menjalani audit keamanan independen secara berkala, termasuk pengajuan laporan pengujian penetrasi dan hasil review kode, untuk memastikan sistem memenuhi standar keamanan minimum. Kewajiban asuransi mewajibkan pembelian asuransi keamanan siber dan asuransi aset kustodian, guna memberikan perlindungan kepada pengguna saat terjadi serangan hacker atau gangguan sistem.

Standar teknis mengatur kekuatan algoritma enkripsi, metode pembuatan dan penyimpanan kunci privat, persyaratan multi-signature, serta rasio pemisahan cold dan hot wallet. Kewajiban pelaporan berkala mengharuskan mereka mengirimkan laporan triwulan atau tahunan ke FSA, berisi data tentang jumlah aset kustodian, catatan insiden keamanan, dan pembaruan sistem. Sanksi pelanggaran meliputi denda, penghentian operasi, bahkan penuntutan pidana terhadap penyedia yang tidak terdaftar atau melanggar ketentuan, serta sanksi terhadap bursa yang menggunakan layanan tidak terdaftar.

Kerangka Persyaratan Pendaftaran yang Diharapkan

Rasio Modal: Persyaratan modal minimum dan modal berkelanjutan

Audit Keamanan: Audit independen tahunan dan laporan pengujian penetrasi

Cakupan Asuransi: Wajib memiliki asuransi keamanan siber dan asuransi aset kustodian

Standar Teknis: Enkripsi, manajemen kunci privat, multi-signature, dan regulasi terkait lainnya

Laporan Berkala: Pengungkapan volume kustodian dan insiden keamanan ke FSA

Sanksi Pelanggaran: Denda, penghentian operasi, bahkan penuntutan pidana

Jika diterapkan, kerangka pengawasan komprehensif ini akan menjadikan Jepang salah satu negara dengan regulasi layanan kustodian cryptocurrency paling ketat di dunia. Sebaliknya, meskipun AS dan Eropa juga memperkuat regulasi, fokus utama mereka masih pada bursa, sementara pengawasan terhadap layanan kustodian pihak ketiga relatif lebih longgar.

Laporan menunjukkan bahwa FSA berencana menyusun laporan berdasarkan diskusi ini secepatnya, dan mengajukan amandemen Undang-Undang Instrumen Keuangan dan Perdagangan (Financial Instruments and Exchange Act) selama sesi parlemen tahun 2026. Artinya, regulasi baru ini kemungkinan akan berlaku paling cepat pada paruh kedua 2026 atau awal 2027. Proses dari diskusi hingga legislasi biasanya memakan waktu 12 sampai 18 bulan, memberi waktu persiapan bagi penyedia layanan yang sudah ada.

Dampak Rantai Global dari Regulasi Cryptocurrency

Inovasi regulasi ini di Jepang berpotensi memicu reaksi berantai secara global. Sebagai pasar cryptocurrency terbesar ketiga di dunia (setelah AS dan China), kebijakan pengawasan Jepang sering menjadi acuan negara lain. Setelah Coincheck diretas pada 2017, sistem pengawasan ketat yang dibangun Jepang telah diadopsi oleh Korea Selatan, Singapura, dan negara lain. Regulasi baru terkait layanan kustodian pihak ketiga ini diperkirakan akan menimbulkan efek serupa.

Bagi penyedia layanan kustodian global, masuk ke pasar Jepang akan semakin sulit. Perusahaan kecil seperti Ginco yang tidak mampu memenuhi persyaratan pendaftaran akan terpaksa keluar dari pasar atau melakukan investasi besar dalam kepatuhan. Efek eliminasi ini, meskipun meningkatkan biaya jangka pendek, akan meningkatkan profesionalisme dan standar keamanan industri kustodian secara keseluruhan dalam jangka panjang.

Perusahaan besar seperti BitGo, Fireblocks, dan lainnya, yang sudah memiliki kerangka kepatuhan dan infrastruktur keamanan di pasar Eropa dan Amerika, kemungkinan akan menjadi penerima manfaat utama dari perubahan regulasi ini. Biaya masuk ke pasar Jepang relatif rendah bagi mereka. Sebaliknya, perusahaan kecil yang kekurangan modal dan teknologi akan menghadapi risiko bertahan hidup.

Bagi bursa cryptocurrency Jepang, regulasi ini akan memaksa mereka meninjau ulang pengaturan kustodian mereka. Jika penyedia layanan yang digunakan saat ini tidak terdaftar, mereka harus mencari alternatif, yang mungkin melibatkan migrasi sistem, renegosiasi kontrak, dan risiko gangguan bisnis. Namun, secara jangka panjang, regulasi ini akan meningkatkan keamanan keseluruhan bialnya mengurangi kerugian akibat celah pihak ketiga.

Selain itu, Kementerian Keuangan Jepang juga mempercepat pengembangan stablecoin domestik. Bulan lalu, mereka menyetujui peluncuran stablecoin yen Jepang pertama, JPYC, yang kemudian langsung diluncurkan. Pekan lalu, mereka mengumumkan dukungan terhadap pilot project stablecoin yang melibatkan tiga bank utama Jepang—Mizuho Bank, Mitsubishi UFJ Financial Group, dan Sumitomo Mitsui Banking Corporation. Strategi kombinasi pengawasan ketat dan penguatan layanan kustodian ini menunjukkan Jepang berupaya menyeimbangkan inovasi dan keamanan.

Dari tren regulasi global, langkah Jepang ini berpotensi menjadi standar internasional baru. Meskipun kerangka kerja MiCA di UE sudah komprehensif, ketentuan spesifik terkait layanan kustodian pihak ketiga masih kurang detail. Regulasi di AS pun bersifat fragmentaris, dengan standar berbeda antar negara bagian. Jika sistem pendaftaran Jepang terbukti efektif, negara lain kemungkinan akan mengikuti, membentuk standar global untuk layanan kustodian cryptocurrency.

Bagi pelaku industri cryptocurrency, ini merupakan peluang untuk melakukan persiapan awal. Penyedia layanan yang mampu memenuhi persyaratan pendaftaran Jepang akan mendapatkan keunggulan kompetitif, tidak hanya di pasar Jepang tetapi juga dalam penerapan regulasi serupa di negara lain di masa depan. Investasi dalam infrastruktur keamanan, sistem kepatuhan, dan perlindungan asuransi akan menjadi aset berharga dalam tren pengawasan yang semakin ketat ini.