Kelompok Lazarus DPRK Diduga Terlibat dalam Pencurian Solana Senilai $286 Juta dari Drift Protocol
Drift Protocol, bursa perpetual futures terdesentralisasi terbesar di jaringan Solana, mengkonfirmasi eksploitasi setelah menyaksikan total value locked (TVL) mereka runtuh dari sekitar $550 juta menjadi di bawah $250 juta dalam satu pagi, kini berada di $232 juta. Bitcoin.com News adalah yang pertama melaporkan masalah ini. Token DRIFT turun sebanyak 37%–42% dalam beberapa jam berikutnya, mencapai titik terendah di sekitar $0,04 hingga $0,05.
Laporan mencatat bahwa serangan dimulai bukan dengan bug kode tetapi dengan penarikan Tornado Cash. Pada 11 Maret, penyerang menarik ETH dari protokol privasi berbasis Ethereum dan menggunakan dana tersebut untuk men-deploy token carbonvote, atau CVT, pada 12 Maret. Analis blockchain mencatat bahwa timestamp deployment sesuai dengan sekitar pukul 09:00 waktu Pyongyang, detail yang langsung menimbulkan kecurigaan.
token DRIFT pada 3 April 2026.Beberapa laporan merinci bahwa selama tiga minggu berikutnya, penyerang menyuntikkan likuiditas minimal untuk CVT di bursa terdesentralisasi Raydium dan menggunakan wash trading untuk mempertahankan harga mendekati $1,00. Oracle Drift membaca harga tersebut sebagai sah. Penyerang telah membangun kolateral palsu yang terlihat nyata bagi setiap sistem otomatis yang memantaunya.
"Hari ini, seorang aktor berbahaya mendapatkan akses tidak sah ke Drift Protocol melalui serangan baru yang melibatkan durable nonces, mengakibatkan pengambilalihan cepat atas kekuasaan administratif Security Council Drift," tulis tim Drift.
Akun X proyek menambahkan:
Rupanya, antara 23 Maret dan 30 Maret, penyerang Drift beralih ke lapisan manusia. Menggunakan fitur Solana yang sah yang disebut durable nonces, penyerang dilaporkan membujuk anggota multisig Security Council Drift untuk menandatangani transaksi terlebih dahulu yang tampak rutin. Tanda tangan tersebut menjadi kunci akses yang telah disetujui sebelumnya, disimpan cadangan sampai penyerang siap.
Celah tertutup pada 27 Maret, ketika Drift memindahkan Security Council-nya ke ambang batas tanda tangan 2-dari-5 dan menghapus timelock-nya sepenuhnya. Timelock biasanya memaksakan penundaan 24 hingga 72 jam pada tindakan administratif, memberi waktu kepada komunitas untuk menangkap dan membalikkan apa pun yang mencurigakan. Tanpa itu, penyerang memiliki otoritas eksekusi tanpa penundaan. Transaksi yang telah ditandatangani sebelumnya langsung aktif saat timelock hilang.
Pada 1 April, penyerang mengaktifkan transaksi tersebut, mendaftarkan CVT sebagai kolateral yang valid, menaikkan batas penarikan, dan menyetorkan ratusan juta token CVT yang terhadapnya mesin risiko Drift mengeluarkan aset riil. Protokol menyerahkan jutaan token JLP, jutaan USDC, jutaan SOL, dan jumlah yang lebih kecil dari wrapped bitcoin dan ethereum. Tiga puluh satu transaksi penarikan diselesaikan dalam waktu sekitar 12 menit.
Penyerang mengonversi token yang dicuri menjadi USDC menggunakan Jupiter, menjembatani ke Ethereum, dan menukar menjadi puluhan ribu ETH. Beberapa dana dialihkan melalui Hyperliquid, dan sebagian dipindahkan langsung ke Binance. Pada 3 April, Drift mengirim pesan onchain dari alamat Ethereum ke empat dompet yang dikontrol peretas. Publikasi cryptonomist.ch melaporkan bahwa pesan tersebut berbunyi:
Perusahaan keamanan Elliptic dan TRM Labs telah mengaitkan serangan tersebut dengan aktor ancaman yang terkait dengan DPRK, mengutip asal Tornado Cash, tanda tangan deployment waktu Pyongyang, fokus rekayasa sosial, dan kecepatan pencucian uang pasca-peretasan. Kelompok Lazarus menggunakan pendekatan kesabaran dan penargetan manusia yang sama dalam peretasan jembatan Ronin 2022. Pemerintah AS telah mengaitkan pencurian ini dengan pendanaan program senjata Korea Utara, dan Elliptic telah melacak lebih dari $300 juta yang dicuri hanya di kuartal pertama 2026.
Penularan menyebar ke lebih dari 20 protokol. Prime Numbers Fi melaporkan kerugian jutaan. Carrot Protocol menghentikan fungsi mint dan redeem setelah 50% TVL-nya terpengaruh. Pyra Protocol menonaktifkan penarikan sepenuhnya, membuat semua dana pengguna tidak dapat diakses. Piggybank kehilangan $106.000 dan mengganti pengguna dari treasury tim mereka sendiri.
DeFi Development Corp., sebuah perusahaan yang terdaftar di Nasdaq dengan strategi treasury Solana, mengkonfirmasi pada 1 April bahwa mereka tidak memiliki eksposur Drift. Kerangka risiko mereka mengecualikan protokol sepenuhnya. Fakta itu menarik lebih banyak perhatian daripada yang mungkin dimaksudkan perusahaan.
Insiden Drift menghasilkan satu pelajaran yang jelas yang sebagian besar industri sudah tahu tetapi belum sepenuhnya diterapkan: timelock bukan opsional. Penghapusan satu perlindungan tunggal itu pada 27 Maret mengubah serangan kompleks multi-minggu menjadi pencairan 12 menit. Tata kelola protokol tanpa mekanisme penundaan adalah tata kelola dengan pintu terbuka.
48 jam berikutnya setelah serangan DeFi digambarkan sebagai kritis untuk kemampuan Drift mempertahankan kepercayaan pengguna dan memetakan jalur pemulihan. Per 3 April, tidak ada rencana penggantian komprehensif yang telah diumumkan.
FAQ 🔎
- Apa yang terjadi pada Drift Protocol? Penyerang menguras $286 juta dari Drift Protocol pada 1 April 2026, menggunakan kolateral palsu dan transaksi administratif yang telah ditandatangani sebelumnya untuk mengosongkan vault inti protokol dalam 12 menit.
- Siapa yang bertanggung jawab atas peretasan Drift Protocol? Perusahaan keamanan, termasuk Elliptic dan TRM Labs, telah mengaitkan serangan tersebut dengan aktor ancaman terkait DPRK, mengutip pola pencucian uang dan timestamp onchain yang konsisten dengan modus operandi Kelompok Lazarus.
- Apakah uang saya aman di Drift Protocol? Drift menangguhkan semua setoran dan penarikan setelah serangan; pengguna di protokol yang terkena dampak seperti Pyra dan Carrot tetap tidak dapat mengakses dana per 3 April 2026.
- Apa itu serangan durable nonce di Solana DeFi? Serangan durable nonce menggunakan fitur Solana yang sah untuk menandatangani transaksi terlebih dahulu yang tampak rutin, menahannya sebagai kunci otorisasi aktif sampai penyerang memilih untuk mengeksekusinya.
Sumber: https://news.bitcoin.com/drift-protocol-hack-2026-what-happened-who-lost-money-and-whats-next/
