Pada 1 April 2026, $285 juta keluar dari Drift Protocol dalam 128 detik. Penyerang telah ada di ruangan tersebut — secara harfiah, di konferensi, dalam sesi kerja, dalam grup Telegram bersama kontributor Drift — selama enam bulan sebelumnya. Jika kamu masih memikirkan peretasan Drift Protocol sebagai eksploitasi kode, kamu memikirkan bagian yang salah.
Apa yang Ditunjukkan Catatan On-Chain
Serangan tersebut memiliki tiga bagian, masing-masing tidak berguna tanpa yang lainnya.
Token palsu. Pada 12 Maret — tiga minggu sebelum pengosongan — seseorang membuat token Solana bernama CarbonVote Token (CVT). Mereka mencetak 750 juta unit seharga $1,19, menyemai liquidity pool Raydium dengan $500, lalu melakukan wash-trade antara dompet mereka sendiri selama berminggu-minggu. Tujuannya adalah menciptakan riwayat harga yang terlihat kredibel. Oracle yang melaporkan harga tersebut tidak ditipu — itu milik mereka.
Durable nonce. Solana memiliki fitur yang memungkinkan pengguna menandatangani transaksi sebelumnya dan menyimpannya, melewati jendela kedaluwarsa normal. Pada 23 Maret, empat akun durable nonce dibuat — dua dikendalikan oleh penyerang, dua terhubung ke anggota Drift Security Council yang sah. Pada saat multisig baru aktif beberapa hari kemudian, penyerang sudah memiliki dua dari lima kunci dari persetujuan yang telah ditandatangani sebelumnya yang mereka peroleh melalui rekayasa sosial.
Eksekusi. Pada 1 April, Drift menjalankan penarikan uji rutin dari dana asuransinya. Satu menit kemudian, transaksi nonce yang telah ditandatangani sebelumnya berjalan. Akun State Drift berpindah tangan dalam dua transaksi, empat slot Solana terpisah. Kemudian token CVT — hampir tidak berharga dalam kenyataan — disimpan sebagai jaminan terhadap parameter permisif yang baru saja ditetapkan penyerang. Dan penarikan dimulai.
Dalam 128 detik: $159 juta dalam JLP, $71 juta dalam USDC, $11 juta dalam cbBTC, dan lebih banyak lagi di 18 token. Vault hampir kosong sebelum kebanyakan orang mengetahui apa yang terjadi.
Enam Bulan Sebelum Jam Dimulai
Pengaturan on-chain memakan waktu sepuluh hari. Tapi operasi di baliknya membutuhkan enam bulan.
Sekitar Oktober 2025, sekelompok orang yang berpura-pura menjadi firma perdagangan kuantitatif mendekati kontributor Drift di konferensi kripto besar. Mereka fasih secara teknis. Mereka memiliki latar belakang profesional yang dapat diverifikasi — riwayat pekerjaan, kredensial, identitas yang menghadap publik yang bertahan di bawah vetting normal. Mereka membuat grup Telegram di pertemuan pertama itu dan tetap di dalamnya.
Selama bulan-bulan berikutnya, mereka terus muncul. Di konferensi di berbagai negara. Pada acara industri. Mereka bukan orang asing yang mengirim pesan LinkedIn — mereka adalah rekan. Orang-orang yang telah ditemui kontributor Drift secara langsung, bekerja bersama, dan membangun apa yang terasa seperti hubungan profesional normal selama setengah tahun.
Antara Desember 2025 dan Januari 2026, mereka memasukkan Ecosystem Vault di Drift, yang memerlukan dokumentasi strategi dan keterlibatan kontributor langsung. Mereka menyetor lebih dari $1 juta modal mereka sendiri. Mereka berpartisipasi dalam sesi kerja. Mereka mengajukan pertanyaan produk yang detail dan terinformasi — jenis yang hanya akan ditanyakan oleh seseorang yang memahami protokol.
Kemudian, ketika percakapan integrasi semakin mendalam, mereka mulai berbagi tautan, repositori, dan aplikasi yang digambarkan sebagai deployment frontend untuk vault mereka. Satu kontributor mungkin mengkloning repositori kode. Yang lain mungkin mengunduh aplikasi TestFlight yang dipresentasikan sebagai produk dompet. Drift belum mengkonfirmasi vektor mana yang berhasil — keduanya masih dalam investigasi forensik.
Vektor malware, jika itu repositori, mengeksploitasi kerentanan yang diketahui di VS Code dan Cursor — dua editor kode yang paling banyak digunakan dalam pengembangan perangkat lunak — yang telah ditandai komunitas keamanan sejak akhir 2025. Sekadar membuka file atau folder sudah cukup untuk mengeksekusi kode arbitrer secara diam-diam di perangkat. Tidak ada klik. Tidak ada dialog izin. Tidak ada peringatan.
Setelah masuk ke perangkat tersebut, penyerang memiliki apa yang mereka butuhkan untuk mendapatkan persetujuan multisig. Semua yang terjadi on-chain di Maret berasal dari akses tersebut.
Ketika pengosongan selesai, kelompok tersebut menghapus segalanya. Chat Telegram dihapus. Perangkat lunak berbahaya dihapus. Firma perdagangan yang telah menghabiskan enam bulan membangun hubungan tiba-tiba berhenti ada.
Drift, bekerja sama dengan tim keamanan SEAL 911, mengaitkan operasi tersebut dengan kepercayaan menengah-tinggi kepada UNC4736 — kelompok yang berafiliasi dengan negara Korea Utara yang juga dilacak sebagai AppleJeus atau Citrine Sleet.
Kegagalan Tata Kelola yang Tidak Ingin Dibicarakan Siapapun
Terpisah dari rekayasa sosial, serangan tersebut mengungkapkan sesuatu tentang bagaimana Drift distrukturkan.
Drift menjalankan multisig 2-dari-5 tanpa timelock. Artinya, dua penandatangan mana pun dapat mengotorisasi perubahan tingkat admin yang instan dan tidak dapat dibalikkan — tanpa penundaan, tanpa jendela tinjauan, tanpa pemutus sirkuit. Setelah peretasan, perbandingan beredar menunjukkan di mana Drift berada relatif terhadap rekan DeFi Solana-nya:
| Protokol | Multisig | Timelock |
|---|---|---|
| Jupiter Lend | 4/7 | 12 jam |
| Kamino | 5/10 | 12 jam |
| Solstice | 3/7 | 1 hari |
| Drift | 2/5 | Tidak ada |
Pendiri Chaos Labs Omer Goldberg mengungkapkan kegagalan struktural dengan jelas: “Kunci penandatangan protokol memiliki kontrol penuh atas pembuatan pasar, penugasan oracle, batas penarikan. Tidak ada timelock, tidak ada ambang multisig, dan tidak ada penundaan.” Urutan pengosongan penuh, setelah kontrol admin ditransfer, memakan waktu kurang dari lima belas detik.
Circle Menyaksikan $230 Juta Bergerak dan Tidak Melakukan Apa-Apa
Selama enam jam setelah pengosongan, lebih dari $230 juta USDC yang dicuri melewati Cross-Chain Transfer Protocol Circle sendiri — dibakar di Solana, dicetak di Ethereum, dalam lebih dari 100 transaksi, selama jam kerja AS.
Circle tidak membekukan satu dolar pun.
ZachXBT menandai hal ini secara publik: “Circle tertidur sementara jutaan USDC dipertukarkan melalui CCTP dari Solana ke Ethereum selama berjam-jam dari peretasan Drift 9 angka selama jam AS.”
Penyerang bahkan memarkir USDC yang dicuri selama satu hingga tiga jam sebelum memindahkannya — tampaknya yakin Circle tidak akan bertindak. Mereka memilih USDC secara khusus daripada USDT. Mereka benar.
Celah antara kemampuan dan kewajiban adalah masalah yang sebenarnya. Seperti yang dicatat seorang pengamat: “Circle bisa membekukannya. Tapi mereka tidak diwajibkan untuk melakukannya.”
Gambaran Lebih Besar tentang DPRK
Peretasan Drift tidak biasa bagi peretas negara Korea Utara. Ini adalah operasi ke-18 yang dilacak Elliptic pada 2026 saja, mendorong pencurian kripto DPRK melewati $300 juta untuk tahun ini sebelum April berakhir. Total pencurian yang dikaitkan kini melebihi $6,75 miliar.
Buku pedomannya konsisten. Pada Oktober 2024, Radiant Capital kehilangan $53 juta setelah penyerang berpura-pura sebagai kontraktor mantan dan mengirimkan malware melalui file ZIP di Telegram. Bybit kehilangan $1,5 miliar dengan cara yang sama. Operasi Drift menjalankan logika yang sama pada enam kali skala dan enam kali kesabaran.
Patrick Collins menyebutnya peretasan paling menakutkan di 2026 — lebih menakutkan dari Bybit, meskipun lebih kecil — karena apa yang dibuktikannya: “Bertemu seseorang secara langsung tidak akan menjadi hambatan yang secara historis kita pikir akan ada.”
Apa Artinya
Kompromi kunci privat menyumbang 88% dari semua kripto yang dicuri, menurut data Chainalysis 2026. Rekayasa sosial adalah titik masuk untuk hampir setiap pencurian besar. Industri telah mengetahui ini selama bertahun-tahun dan merespons setiap insiden dengan cara yang sama: terkejut, postmortem, beberapa minggu diskusi tata kelola, lalu kembali membangun seolah-olah tim berikutnya tidak akan ditargetkan dengan cara yang sama.
Korea Utara tidak menemukan lubang dalam kode DeFi. Mereka menemukan lubang dalam budaya DeFi.
Terakhir diperbarui: April 2026
Sumber
- Pengungkapan Insiden Drift Protocol — pengungkapan resmi dan analisis insiden
- ZachXBT — Analisis on-chain
- Chainalysis 2026 Crypto Crime Report