#DriftProtocolHacked

Sebuah operasi intelijen yang didukung negara senilai $285 juta yang disamarkan sebagai jabat tangan konferensi kripto. Industri sedang berguncang akibat salah satu serangan DeFi paling canggih yang pernah tercatat.

Skala Pelanggaran

Drift Protocol, bursa futures perpetual terbesar di Solana, telah kehilangan sekitar **$285 juta pada 1 April 2026**. Serangan ini bukan karena kerentanan kontrak pintar atau kunci yang dicuri, tetapi merupakan puncak dari sebuah **operasi rekayasa sosial selama enam bulan** yang diatur oleh **UNC4736 (Citrine Sleet/AppleJeus)**, sebuah kelompok yang didukung negara yang terkait dengan Korea Utara. Chainalysis menyatakan bahwa jika dikonfirmasi, perampokan kripto yang terkait Korea Utara akan mencapai total setidaknya $10,58 triliun won secara global. Skala operasi ini sangat mencengangkan: kelompok ini membangun identitas perusahaan perdagangan kuantitatif palsu, menyetor lebih dari $1 juta modal nyata mereka sendiri, dan bertemu langsung dengan kontributor Drift di konferensi di berbagai negara sebelum melakukan serangan.

---

Anatomi Serangan yang Didukung Negara

Pelaku mulai operasi mereka pada musim gugur 2025 di sebuah konferensi kripto besar, di mana mereka berpura-pura sebagai perwakilan perusahaan perdagangan kuantitatif. Apa yang terjadi selanjutnya adalah kampanye membangun kepercayaan yang teliti dan sabar selama sekitar setengah tahun.

· Fase Infiltrasi: Pada Desember 2025 dan Januari 2026, kelompok ini telah mengaktifkan Ecosystem Vault di Drift, mengajukan dokumentasi strategi, berpartisipasi dalam beberapa sesi kerja dengan kontributor, dan menyetor lebih dari $1 juta modal mereka sendiri. Drift menggambarkan perilaku ini sebagai sangat konsisten dengan bagaimana perusahaan perdagangan yang sah biasanya berintegrasi dengan protokol.
· Lapisan Manusia: Sepanjang Februari dan Maret 2026, kontributor Drift bertemu langsung dengan anggota kelompok di beberapa konferensi industri besar di berbagai negara. Pada saat serangan diluncurkan, mereka bukan lagi orang asing, tetapi mitra kerja yang sudah terjalin selama hampir enam bulan.
· Vektor Teknis: Setelah kepercayaan terbentuk, kelompok ini meluncurkan serangan dua arah: satu melibatkan aplikasi TestFlight berbahaya (Platform distribusi aplikasi prarilis Apple yang melewati review App Store) yang dipresentasikan sebagai produk dompet mereka; yang lain mengeksploitasi kerentanan yang diketahui di VSCode dan Cursor di mana hanya dengan membuka file atau folder sudah cukup untuk menjalankan kode sembunyi-sembunyi tanpa peringatan atau prompt.

---

Pelaksanaan: Fitur Solana yang Menjadi Senjata

Pelaku menyalahgunakan fitur Solana yang sah bernama "durable nonces," yang memungkinkan transaksi ditandatangani sebelumnya dan tetap berlaku tanpa batas waktu. Dengan menipu dua dari lima penandatangan multisig Dewan Keamanan Drift agar menyetujui transaksi yang tampak rutin, pelaku mendapatkan persetujuan yang sudah ditandatangani sebelumnya dan diamankan selama lebih dari seminggu. Pada 1 April, mereka mengeksekusi transaksi yang sudah ditandatangani tersebut, mengambil alih kekuasaan administratif tingkat protokol dalam waktu kurang dari satu menit.

---

Dampak Setelahnya: Keruntuhan Pasar dan Reaksi Komunitas

Dampak langsung sangat menghancurkan:

· Keruntuhan TVL: Total nilai terkunci di Drift turun dari sekitar $550 juta menjadi di bawah $250 juta dalam satu pagi, penurunan lebih dari 53%.
· Keruntuhan Token: Token DRIFT turun hingga 45% dalam beberapa jam berikutnya, mencapai titik terendah di sekitar $0,04–$0,05.
· Dampak Ekosistem Lebih Luas: Setidaknya 20 proyek lain yang terpapar likuiditas atau strategi Drift menghentikan operasi atau menilai kerugian.
· Circle Disorot: Penyelidik on-chain ZachXBT mengkritik Circle karena gagal membekukan USDC yang dicuri selama serangan, karena pelaku menggunakan Cross-Chain Transfer Protocol (CCTP) milik Circle untuk menjembatani sekitar $232 juta USDC dari Solana ke Ethereum tanpa intervensi.

---

Implikasi Hukum dan Keamanan

Pengacara kripto Ariel Givner menyatakan bahwa insiden ini mungkin termasuk dalam "kelalaian sipil," dengan alasan bahwa tim Drift gagal mengikuti prosedur keamanan dasar—termasuk menyimpan kunci penandatanganan di sistem terpisah dan terisolasi serta melakukan uji tuntas terhadap pengembang yang ditemui di konferensi industri. Iklan untuk kemungkinan gugatan class action terhadap Drift Protocol sudah beredar. Sebagai tanggapan, Solana Foundation dan Asymmetric Research meluncurkan program keamanan STRIDE pada 6 April 2026, menyediakan verifikasi formal dan pemantauan ancaman untuk protokol DeFi di Solana.

---

Era Baru Ancaman DeFi

Serangan ini mewakili peningkatan fundamental dalam lanskap ancaman. Ini bukan sekadar eksploitasi kode—melainkan operasi intelijen terstruktur yang membutuhkan dukungan organisasi, sumber daya besar, dan persiapan matang selama berbulan-bulan. Pelaku tidak hanya membangun profil LinkedIn palsu; mereka menempatkan perantara dengan identitas lengkap, riwayat pekerjaan yang dapat diverifikasi, dan jaringan profesional yang mampu menahan uji tuntas nyata. Seperti yang dikatakan seorang peneliti keamanan: "Jika pelaku bertindak seperti organisasi nyata selama enam bulan, menginvestasikan dana, dan berpartisipasi dalam ekosistem, hampir tidak mungkin mendeteksi mereka dengan sistem keamanan yang ada."