Peretasan Drift Protocol 2026: Apa yang Terjadi, Siapa yang Kehilangan Uang, dan Apa yang Akan Terjadi Selanjutnya

Kelompok Lazarus DPRK Diduga Terlibat dalam Pencurian $286 Juta di Drift Protocol Solana

Drift Protocol, bursa futures perpetual terdesentralisasi terbesar di jaringan Solana, mengonfirmasi eksploitasi tersebut setelah melihat total nilai yang terkunci (TVL) anjlok dari sekitar $550 juta menjadi di bawah $250 juta dalam satu pagi, yang kini berada di angka $232 juta. Bitcoin.com News adalah yang pertama melaporkan masalah ini. Token DRIFT anjlok hingga 37%–42% dalam beberapa jam berikutnya, mencapai titik terendah di sekitar $0,04 hingga $0,05.

Laporan menyebutkan bahwa serangan tersebut tidak dimulai dari bug kode, melainkan dari penarikan dana melalui Tornado Cash. Pada 11 Maret, penyerang menarik ETH dari protokol privasi berbasis Ethereum tersebut dan menggunakan dana tersebut untuk meluncurkan token carbonvote, atau CVT, pada 12 Maret. Analis blockchain mencatat bahwa waktu peluncuran token tersebut bertepatan dengan sekitar pukul 09:00 waktu Pyongyang, sebuah detail yang langsung menimbulkan kecurigaan.

Beberapa laporan menjelaskan bahwa selama tiga minggu berikutnya, penyerang menyuntikkan likuiditas minimal untuk CVT di bursa terdesentralisasi Raydium dan menggunakan wash trading untuk mempertahankan harga di sekitar $1,00. Oracle Drift membaca harga tersebut sebagai sah. Penyerang telah membangun jaminan palsu yang tampak asli bagi setiap sistem otomatis yang memantaunya.

"Hari ini, seorang pelaku jahat memperoleh akses tidak sah ke Drift Protocol melalui serangan baru yang melibatkan nonce tahan lama, yang mengakibatkan pengambilalihan cepat atas wewenang administratif Dewan Keamanan Drift," tulis tim Drift.

Akun X proyek tersebut menambahkan:

"Ini adalah operasi yang sangat canggih yang tampaknya melibatkan persiapan selama beberapa minggu dan eksekusi bertahap, termasuk penggunaan akun nonce tahan lama untuk menandatangani transaksi terlebih dahulu yang menunda eksekusi."

Secara tampaknya, antara 23 dan 30 Maret, penyerang Drift beralih ke lapisan manusia. Dengan memanfaatkan fitur Solana yang sah bernama durable nonces, penyerang dilaporkan meyakinkan anggota multisig Dewan Keamanan Drift untuk menandatangani transaksi secara pra-tanda tangan yang tampak rutin. Tanda tangan tersebut menjadi kunci akses yang telah disetujui sebelumnya, disimpan sebagai cadangan hingga penyerang siap.

Celah tersebut tertutup pada 27 Maret, ketika Drift memigrasikan Dewan Keamanannya ke ambang batas tanda tangan 2-dari-5 dan menghapus timelock sepenuhnya. Timelock biasanya memaksa penundaan 24 hingga 72 jam pada tindakan administratif, memberi waktu bagi komunitas untuk mendeteksi dan membatalkan hal-hal mencurigakan. Tanpa itu, penyerang memiliki wewenang eksekusi tanpa penundaan. Transaksi yang telah ditandatangani sebelumnya aktif begitu timelock dihapus.

Pada 1 April, penyerang mengaktifkan transaksi-transaksi tersebut, mendaftarkan CVT sebagai jaminan yang valid, menaikkan batas penarikan, dan menyetor ratusan juta token CVT, yang terhadapnya mesin risiko Drift menerbitkan aset riil. Protokol tersebut menyerahkan jutaan token JLP, jutaan USDC, jutaan SOL, serta jumlah yang lebih kecil dari bitcoin dan ethereum yang dibungkus. Tiga puluh satu transaksi penarikan diselesaikan dalam waktu sekitar 12 menit.

Penyerang mengonversi token yang dicuri menjadi USDC menggunakan Jupiter, memindahkan ke Ethereum, dan menukarnya menjadi puluhan ribu ETH. Sebagian dana dialihkan melalui Hyperliquid, dan sebagian lainnya langsung dipindahkan ke Binance. Pada 3 April, Drift mengirim pesan on-chain dari alamat Ethereum ke empat dompet yang dikendalikan penyerang. Publikasi cryptonomist.ch melaporkan bahwa pesan tersebut berbunyi:

"Kami siap untuk berbicara."

Perusahaan keamanan Elliptic dan TRM Labs mengaitkan serangan ini dengan aktor ancaman yang terkait dengan DPRK, dengan mengutip asal Tornado Cash, tanda tangan deployment waktu Pyongyang, fokus pada rekayasa sosial, dan kecepatan pencucian dana pasca-peretasan. Kelompok Lazarus menggunakan pendekatan yang sama, yaitu kesabaran dan penargetan manusia, dalam peretasan jembatan Ronin pada tahun 2022. Pemerintah AS mengaitkan pencurian ini dengan pendanaan program senjata Korea Utara, dan Elliptic telah melacak lebih dari $300 juta yang dicuri hanya pada kuartal pertama 2026.

Dampak serangan menyebar ke lebih dari 20 protokol. Prime Numbers Fi melaporkan kerugian jutaan dolar. Carrot Protocol menghentikan fungsi pencetakan dan penukaran setelah 50% dari TVL-nya terpengaruh. Pyra Protocol menonaktifkan penarikan sepenuhnya, sehingga semua dana pengguna tidak dapat diakses. Piggybank kehilangan $106.000 dan mengganti rugi pengguna dari kas timnya sendiri.

DeFi Development Corp., sebuah perusahaan yang terdaftar di Nasdaq dengan strategi kas Solana, mengonfirmasi pada 1 April bahwa mereka tidak terpapar Drift. Kerangka kerja risikonya sama sekali tidak mencakup protokol tersebut. Fakta tersebut menarik perhatian lebih dari yang mungkin dimaksudkan perusahaan.

Insiden Drift menghasilkan satu pelajaran jelas yang sebagian besar industri sudah tahu namun belum sepenuhnya diterapkan: mekanisme penundaan (timelock) bukanlah hal opsional. Penghapusan mekanisme perlindungan tunggal tersebut pada 27 Maret mengubah serangan kompleks yang berlangsung berminggu-minggu menjadi penarikan dana dalam 12 menit. Tata kelola protokol tanpa mekanisme penundaan sama saja dengan tata kelola yang membuka pintu lebar-lebar.

48 jam setelah serangan DeFi tersebut digambarkan sebagai masa kritis bagi kemampuan Drift untuk mempertahankan kepercayaan pengguna dan merancang jalur pemulihan. Hingga 3 April, belum ada rencana penggantian kerugian yang komprehensif yang diumumkan.

FAQ 🔎

• Apa yang terjadi pada Drift Protocol? Para penyerang menguras $286 juta dari Drift Protocol pada 1 April 2026, menggunakan jaminan palsu dan transaksi administratif yang telah ditandatangani sebelumnya untuk mengosongkan brankas inti protokol dalam 12 menit.
• Siapa yang bertanggung jawab atas peretasan Drift Protocol? Perusahaan keamanan, termasuk Elliptic dan TRM Labs, mengaitkan serangan tersebut dengan aktor ancaman yang terkait dengan DPRK, dengan mengutip pola pencucian uang dan cap waktu on-chain yang konsisten dengan taktik Lazarus Group.
• Apakah uang saya aman di Drift Protocol? Drift menangguhkan semua setoran dan penarikan setelah serangan tersebut; pengguna di protokol yang terkena dampak seperti Pyra dan Carrot tetap tidak dapat mengakses dana mereka per 3 April 2026.
• Apa itu serangan durable nonce di Solana DeFi? Serangan durable nonce memanfaatkan fitur sah Solana untuk menandatangani transaksi secara pra-otorisasi yang tampak rutin, menyimpannya sebagai kunci otorisasi aktif hingga penyerang memutuskan untuk mengeksekusinya.