Peretasan DeFi terbesar tahun ini terjadi minggu lalu pada 1 April ketika Drift Protocol, salah satu perp DEX terbesar di jaringan Solana, mengalami eksploitasi yang menyebabkan sekitar $286 juta menghilang dari protokol tersebut. Serangan ini terkait dengan peretas yang berhubungan dengan Korea Utara dan seluruh peretasan terjadi hanya dalam 10 detik. Yang mencengangkan dari peretasan ini adalah sifatnya yang sangat teliti. Tidak ada kode yang rusak dan tidak ada smart contract yang memiliki bug. Investigasi dari perusahaan forensik kripto seperti Elliptic dan TRM Labs justru menunjukkan peretasan yang jauh lebih terkalkulasi.
Penyerang Korea Utara menghabiskan tiga minggu untuk membuat token palsu bernama CarbonVote, menyuntikkannya dengan beberapa ribu dolar agar terlihat nyata, sambil pada saat yang sama melakukan rekayasa sosial terhadap dua dari lima penanda tangan Security Council multisig Drift untuk menandatangani otorisasi tersembunyi yang tidak sepenuhnya mereka pahami. Setelah itu, mereka kemudian menggunakan fitur Solana yang disebut "durable nonces" untuk menyimpan tanda tangan tersebut selama lebih dari seminggu, menunggu momen yang tepat. Yang dibutuhkan hanya satu transaksi pada 1 April.
Seperti yang dicatat oleh Elliptic, serangan ini adalah peretasan kripto ke-18 yang terkait dengan Korea Utara tahun ini saja, menarik sekitar $300 juta keluar dari ruang kripto. Empat hari setelah peretasan, CTO Ledger secara resmi menyoroti sifat mengkhawatirkan dari peretasan ini dan bahwa AI mendorong biaya serangan seperti ini "turun ke nol". Pernyataan itu sangat penting karena peretasan Drift adalah studi kasus tentang bagaimana operasi ini sekarang bekerja. Para penyerang tidak memerlukan kerentanan zero-day atau kriptografer kelas atas. Yang mereka butuhkan hanyalah kesabaran, token palsu yang meyakinkan, dan dua manusia yang bisa mereka manipulasi. Peretasan ini sebenarnya mengekspos kerentanan struktural dalam DeFi saat ini. DeFi membangun infrastruktur miliaran dolar yang diamankan oleh kelompok kecil orang yang bisa ditipu, sementara para musuh semakin ahli dalam melakukan hal itu.
Bagaimana Korea Utara Mencuri $286 Juta dalam 10 Detik
Peretasan protokol Drift adalah eksploitasi canggih yang berlangsung selama tiga minggu persiapan. Bloomberg pertama kali melaporkan pelanggaran pada 1 April, ketika protokol Drift mengkonfirmasi bahwa sekitar $286 juta aset pengguna telah disedot keluar. Seluruh skema sebenarnya dimulai pada 11 Maret ketika penyerang menarik 10 ETH dari Tornado Cash sekitar pukul 09.00 waktu Pyongyang dan menggunakannya untuk meluncurkan token palsu, CarbonVote (CVT), aset fiktif sepenuhnya yang disuntik dengan beberapa ribu dolar likuiditas dan dijaga tetap hidup melalui wash trading.
Selama dua minggu berikutnya, antara 23 Maret dan 30 Maret, penyerang membuka akun durable nonce, fitur sah di jaringan Solana yang memungkinkan transaksi ditandatangani sebelumnya dan disimpan tanpa batas waktu tanpa kedaluwarsa. Selama periode ini, penyerang melakukan rekayasa sosial terhadap dua dari lima penanda tangan multisig Security Council Drift untuk menyetujui transaksi yang terlihat normal tetapi, seperti yang dikonfirmasi TRM Labs kemudian, membawa otorisasi tersembunyi untuk kontrol admin yang kritis.
Bagian terakhir terjadi pada 27 Maret, ketika Drift memigrasikan Security Council-nya ke konfigurasi ambang batas 2/5 baru dengan zero timelock seperti yang dilaporkan oleh BlockSec, yang pada dasarnya menghapus satu-satunya penundaan yang akan memungkinkan siapa pun menangkap apa yang akan datang. Pada saat 1 April tiba, jebakan telah sepenuhnya dimuat selama berhari-hari.
Pada 1 April, penyerang menggunakan persetujuan yang telah ditandatangani sebelumnya untuk mendaftarkan CarbonVote sebagai jaminan yang valid, menggembungkan nilainya menjadi ratusan juta melalui harga oracle yang dimanipulasi dan tata kelola telah direbut. Dari sana, 31 transaksi penarikan mengosongkan brankas Drift dalam hitungan detik. Bagian terbesar saja mencakup lebih dari $155 juta token JLP bersama puluhan juta dalam USDC, SOL, ETH dan token staking likuid lainnya yang dikuras dan Total Value Locked pada protokol runtuh seketika dari sekitar $550 juta menjadi di bawah $250 juta.
Kecepatan peretasan ini hanya satu bagian dari cerita ini. Rencana terperinci yang berlangsung selama tiga minggu yang berakhir dengan peretasan 10 detik menunjukkan betapa mudahnya tata kelola, bukan kode, dapat menjadi titik terlemah dalam DeFi.
Perang Kripto $300 Juta Korea Utara di 2026
Peretasan ini, yang dilaporkan dilakukan oleh penyerang yang terkait dengan Korea Utara, sama sekali bukan peristiwa yang terisolasi. Faktanya, jika Anda melihat beberapa peretasan profil tinggi selama beberapa tahun terakhir, menjadi jelas bahwa ini adalah bagian dari kampanye yang jauh lebih besar yang didorong oleh negara. Tahun ini saja, Elliptic telah melaporkan bahwa eksploitasi Drift menjadikannya pencurian kripto ke-18 yang diatribusikan kepada DPRK, mendorong jumlah total dana yang disedot melampaui $300 juta sejauh tahun ini. Jika Anda melihat lebih jauh dari tahun ini, skala peretasan semacam itu dari satu negara menjadi sangat sulit untuk diabaikan. Tahun lalu, aktor yang terkait dengan Korea Utara mencuri antara $1,92 miliar menurut TRM Labs sementara Chainalysis menempatkan angka ini pada $2,02 miliar dalam kripto. Ini menandai lompatan 51% dari tahun ke tahun dalam peretasan yang dilakukan oleh kelompok ini dan mendorong total perampokan mereka sepanjang masa menjadi $6,75 miliar.
Korea Utara menyumbang rekor 76% dari semua kompromi layanan di 2025 yang berarti satu negara bertanggung jawab atas mayoritas besar pencurian yang terjadi di industri ini. Dengan latar belakang itu, peretasan Drift, yang sekarang menjadi eksploitasi terbesar kedua dalam ekosistem Solana setelah pelanggaran Wormhole 2022, sesuai dengan pola serangan.
Yang mendefinisikan pola itu adalah konsistensi. Peretasan Bybit pada Februari 2025, pencurian kripto terbesar dalam sejarah, memiliki pengaturan yang hampir identik yang mencakup rekayasa sosial, akses yang disusupi, dan pertukaran dana yang terkoordinasi. TRM Labs mencatat bahwa operator DPRK semakin mengandalkan jaringan "laundromat Tiongkok" untuk dana yang dijembatani di berbagai chain dalam hitungan jam.
Serangan Drift sebenarnya menunjukkan sistem tim yang didukung negara yang menjalankan operasi multi-minggu dengan pengintaian, manipulasi manusia, dan infrastruktur pencucian global yang sudah ada.
AI Mendorong Biaya Serangan "Turun ke Nol": CTO Ledger Memperingatkan
Empat hari setelah pengurasan Drift, CTO Ledger Charles Guillemet mengatakan kepada CoinDesk sesuatu yang mengubah kerangka seluruh insiden. "Menemukan kerentanan dan mengeksploitasinya menjadi sangat, sangat mudah," katanya. "Biayanya turun ke nol." Guillemet tidak menyebutkan Drift, tetapi dia menggambarkan mekanisme pastinya. AI tidak hanya membantu penyerang menemukan bug kode lebih cepat, tetapi membuat rekayasa sosial lebih meyakinkan, phishing lebih personal, dan pekerjaan persiapan yang dihabiskan operator Korea Utara selama tiga minggu pada Drift lebih murah dan lebih dapat diskalakan dalam urutan besaran. Dia juga menunjukkan masalah yang memburuk di sisi defensif: saat lebih banyak pengembang mengandalkan kode yang dihasilkan AI, kerentanan dapat menyebar lebih cepat daripada peninjau manusia dapat menangkapnya. "Tidak ada tombol 'jadikan aman'," katanya. "Kita akan menghasilkan banyak kode yang tidak aman secara desain." Peretasan dan eksploitasi menyebabkan kerugian kripto $1,4 miliar selama setahun terakhir, dan proyeksi Guillemet adalah bahwa kurva menjadi lebih curam, bukan lebih datar.
Peretasan Drift adalah bukti konsep paling jelas untuk peringatan itu. Para penyerang tidak pernah menyentuh kode, mereka menargetkan dua manusia yang memegang kunci. AI tidak perlu memecahkan smart contract jika dapat menghasilkan dalih yang cukup meyakinkan untuk menipu penanda tangan multisig agar menyetujui transaksi yang tidak sepenuhnya mereka pahami. Guillemet memperkirakan industri akan terpecah: sistem kritis seperti wallet dan protokol inti akan berinvestasi besar dalam keamanan dan beradaptasi, tetapi sebagian besar ekosistem perangkat lunak yang lebih luas mungkin kesulitan untuk mengikuti. Perbaikan yang direkomendasikannya, verifikasi formal menggunakan bukti matematis, isolasi perangkat keras untuk kunci pribadi, secara struktural baik tetapi memerlukan tingkat disiplin institusional yang belum dibangun oleh sebagian besar protokol DeFi, termasuk Drift. "Ketika Anda memiliki perangkat khusus yang tidak terhubung ke internet, itu lebih aman secara desain," katanya. Security Council Drift tidak memiliki penyangga seperti itu. Dua tanda tangan, zero timelock, dan token palsu adalah semua yang diperlukan.
Apa yang Terjadi Selanjutnya: Pemulihan Drift dan Respons Industri
Apa yang terjadi selanjutnya untuk Drift Protocol sangat tidak jelas dan sinyal awal sudah membagi industri. Segera setelahnya, Anatoly Yakovenko menyarankan jalur pemulihan potensial: menerbitkan airdrop token bergaya IOU kepada pengguna yang terkena dampak, meniru playbook Bitfinex 2016 setelah peretasan $72 jutanya.
Idenya sederhana — sosialisasikan kerugian sekarang, bayar kembali pengguna dari waktu ke waktu jika protokol pulih. Tetapi konteksnya sangat berbeda. TVL Drift telah dipotong hampir setengahnya, deposit dan penarikan tetap ditangguhkan, dan tidak seperti Bitfinex, ia tidak memiliki mesin pendapatan terpusat untuk mendukung kewajiban tersebut. Itu telah menyebabkan penolakan langsung: token IOU, dalam kasus ini, berisiko menjadi instrumen spekulatif murni tanpa jalur yang jelas untuk penebusan.
Pada saat yang sama, aktivitas on-chain menimbulkan kekhawatiran baru. Onchain Lens menandai bahwa wallet yang terkait dengan tim Drift memindahkan 56,25 juta token DRIFT (≈$2,44 juta) ke exchange terpusat termasuk Bybit dan Gate segera setelah eksploitasi, langkah yang biasanya mendahului tekanan jual dan telah memicu spekulasi tentang positioning orang dalam selama krisis likuiditas.
Sementara itu, dana penyerang telah dijembatani melintasi chain, terutama ke Ethereum, mengurangi probabilitas pemulihan yang berarti dengan setiap hari yang berlalu. Implikasi yang lebih luas adalah bahwa insiden ini tidak akan berakhir dengan Drift. Kemungkinan akan mempercepat pengawasan di seluruh industri seputar tata kelola DeFi itu sendiri, dari standar keamanan multisig dan persyaratan timelock hingga desain oracle dan kontrol eksekusi. Apa yang terjadi selanjutnya bergantung pada tiga variabel: apakah Drift dapat menyajikan rencana pemulihan yang kredibel, apakah ada bagian dari dana yang dapat dilacak atau dibekukan, dan apakah ini akhirnya memaksa reformasi struktural, atau menjadi pelajaran mahal lainnya yang dilewati industri.
Jika Anda membaca ini, Anda sudah selangkah lebih maju. Tetaplah di sana dengan newsletter kami.
Sumber: https://www.cryptopolitan.com/drift-protocol-hack-north-korea-ai/
