#DriftProtocolHacked DriftProtocolHacked: Rincian Lengkap tentang Perampokan DeFi yang Terkait Korea Utara

Versi Singkat: Pada 1 April 2026 #DriftProtocolHacked ya, serangan nyata, bukan lelucon$285M , pertukaran perpetual terbesar di Solana, Drift Protocol, kehilangan sekitar (juta) dalam apa yang sekarang disebut sebagai serangan rekayasa sosial paling canggih dalam sejarah DeFi. Para penyerang menghabiskan $285 enam bulan$1 membangun kepercayaan, bertemu tim secara langsung, menyetor lebih dari (juta) uang mereka sendiri, dan akhirnya membobol mesin penandatangan untuk menguras protokol dalam waktu hanya 12 menit.

---

1. Garis Waktu: Bagaimana Kejadiannya

Pelaksanaan Serangan $285 1 April 2026(

· Total yang dicuri: sekitar )juta( dari beberapa pool: JLP )~$155,6 juta(, USDC, SOL, cbBTC, wBTC, WETH, dan koin meme
· Metode: Penyerang mengaktifkan transaksi "nonce tahan lama" yang sudah ditandatangani sebelumnya, mencantumkan token CVT palsu sebagai jaminan yang valid, menaikkan batas penarikan ke maksimum, dan menguras semuanya
· Kecepatan: 31 transaksi penarikan selesai dalam sekitar 12 menit
· Konversi langsung: Aset yang dicuri ditukar menjadi sekitar 129.000 ETH )~$278 juta( melalui Jupiter, dijembatani ke Ethereum

Respon Langsung

· Deposit/penarikan dibekukan segera
· Drift mengonfirmasi: "Ini bukan lelucon April Mop"
· Semua fungsi protokol dijeda; dompet yang terkompromi dihapus dari multisig

---

2. Infiltrasi Enam Bulan: Operasi Intelijen Terstruktur

Ini bukan bug kode atau peretasan acak. Ini adalah operasi spionase skala penuh.

Fase 1: Kontak Pertama )Musim Gugur 2025$1

Individu yang menyamar sebagai perusahaan perdagangan kuantitatif mendekati kontributor Drift di konferensi kripto besar. Mereka cukup canggih secara teknis, kredibel, dan langsung membuat grup Telegram.

Fase 2: Membangun Kepercayaan (Des 2025 - Jan 2026)

· Mengintegrasikan Vault Ekosistem yang tampak sah di Drift
· Menyetor lebih dari (juta) modal mereka sendiri untuk membangun kredibilitas
· Beberapa sesi kerja tentang strategi perdagangan dan integrasi
· Bertemu kontributor Drift secara langsung di konferensi di berbagai negara

Fase 3: Kompromi Teknis (Feb - Mar 2026)

Dua kemungkinan vektor serangan teridentifikasi:

Vektor Metode
Repositori Berbahaya Penyerang membagikan repo kode dengan kedok mengembangkan antarmuka vault. Kerentanan VSCode/Cursor yang dikenal (ditandai Des 2025 - Feb 2026) memungkinkan eksekusi kode sembunyi-sembunyi hanya dengan membuka folder—tanpa klik, tanpa peringatan
Aplikasi TestFlight Kontributor diyakinkan untuk menginstal beta "aplikasi dompet" melalui Apple TestFlight (yang melewati tinjauan keamanan App Store)

Setelah mesin terkompromi, penyerang mendapatkan persetujuan multisig melalui manipulasi transaksi.

Fase 4: Perangkap Dipasang (27 Maret 2026)

Drift memigrasikan Dewan Keamanannya ke multisig 2-dari-5 dengan lock time 0 detik—artinya tindakan administratif bisa dieksekusi secara instan tanpa penundaan. Transaksi yang sudah ditandatangani sebelumnya sudah menunggu.

Fase 5: Eksekusi (1 April 2026)

· Penyerang mengaktifkan transaksi yang tidak aktif
· Obrolan Telegram dan perangkat lunak berbahaya dibersihkan sepenuhnya saat serangan berlangsung
· Dana dikuras dalam 12 menit

---

3. Atribusi: UNC4736 Korea Utara $50M Sub-Kelompok Lazarus(

Dengan tingkat kepercayaan sedang-tinggi, Drift dan tim SEAL 911 mengaitkan ini dengan UNC4736 )alias AppleJeus, Citrine Sleet, Gleaming Pisces(—kelompok yang sama di balik peretasan Radiant Capital Oktober 2024.

Bukti yang Mengaitkan DPRK:

· Overlap on-chain: Aliran dana yang digunakan untuk mengatur operasi Drift kembali ke pelaku Radiant Capital
· Pola operasional: Pendekatan yang sama dalam menargetkan manusia, digunakan dalam peretasan jembatan Ronin 2022 )$625 juta$285
· Asal Tornado Cash: Serangan dimulai dengan penarikan ETH dari Tornado Cash pada 11 Maret
· Cap waktu Pyongyang: Cap waktu deployment CVT sesuai dengan sekitar pukul 09:00 waktu Pyongyang
· Kecepatan pencucian: Konversi lintas-chain langsung ke ETH, tanpa pembekuan oleh CEX

Catatan Penting: Orang yang Bertemu Langsung BUKAN Warga Korea Utara

"Individu yang muncul di konferensi secara langsung bukan warga negara Korea Utara. Pelaku ancaman DPRK yang beroperasi di tingkat ini diketahui menggunakan perantara pihak ketiga untuk membangun hubungan."

Perantara ini telah membangun identitas lengkap—riwayat pekerjaan, kredensial publik, jaringan profesional—yang dirancang untuk tahan terhadap pemeriksaan lawan bicara.

---

4. Rincian Teknis: Bagaimana Eksploitasi Berjalan

Serangan "Nonce Tahan Lama"

Solana memiliki fitur sah yang disebut nonce tahan lama yang memungkinkan transaksi ditandatangani sebelumnya dan dieksekusi nanti. Para penyerang:

1. Membuat penandatangan multisig menyetujui transaksi yang tampak rutin
2. Persetujuan tersebut menjadi kunci otorisasi aktif yang disimpan
3. Ketika lock time dihapus pada 27 Maret, transaksi yang sudah ditandatangani sebelumnya langsung aktif

Skema Jaminan Palsu

1. 11 Maret: Penyerang menarik ETH dari Tornado Cash
2. 12 Maret: Mengeluarkan token "CVT" (carbonvote)
3. 3 minggu: Menyediakan likuiditas minimal di Raydium, menggunakan wash trading untuk menjaga harga sekitar $1,00
4. 1 April: Oracle Drift membaca CVT sebagai jaminan sah → penyerang menyetor CVT tidak berharga → protokol mengeluarkan aset nyata terhadapnya

---

5. Dampak: Siapa yang Tersakiti

Kerugian Langsung: sekitar (juta)

Jumlah Aset Nilai (USD)
Token JLP ~41,7 juta ~$155,6 juta
USDC Berbagai ~$80-100 juta
SOL Berbagai Signifikan
cbBTC/wBTC/WETH Berbagai Sisa

Protokol yang Terpengaruh (Penularan)

· Prime Numbers Fi: Jutaan hilang
· Carrot Protocol: Fungsi mint/redeem dihentikan setelah 50% TVL terpengaruh
· Pyra Protocol: Penarikan sepenuhnya dinonaktifkan
· Piggybank: Kehilangan $106.000 #DriftProtocolHacked dihapus dari kas$230

Respon Jupiter

"Jupiter Lend tidak terlibat dalam pasar Drift. Aset JLP didukung penuh oleh aset dasar. Ini hari yang sulit untuk DeFi Solana."

Token yang Tidak Terpengaruh

· Unitas Protocol
· Meteora
· Perena (meskipun vault JLP mereka yang Neutral Trade terpengaruh)

---

6. Kontroversi Stablecoin: Circle vs. Tether

Sebuah cerita sekunder besar muncul: Mengapa Circle tidak membekukan USDC yang dicuri?

Angka-angka

· (juta USDC) dijembatani dari Solana ke Ethereum melalui Cross-Chain Transfer Protocol Circle (CCTP)
· Ini terjadi selama lebih dari enam jam tanpa intervensi

Perbandingan

Respon Protokol
USDT0 (Tether) Menghentikan komunikasi lintas-chain di Solana dalam 90 menit
Circle CCTP Tidak ada intervensi yang terdokumentasi; protokol berjalan tanpa izin

Kritik

Analis on-chain ZachXBT secara terbuka mengkritik kegagalan Circle untuk bertindak. Pengamat industri mencatat ini menunjukkan adanya trade-off desain mendasar: kontrol terpusat untuk respons darurat (USDT0) vs. desentralisasi tanpa izin (CCTP).

Sebagai konteks, pendiri Curve Finance Michael Egorov menyatakan: "Jika peretas Korea Utara terlibat, probabilitas pemulihan nol. Mereka tidak pernah bekerja sama dan tidak takut penegak hukum."

---

7. Respon Drift & Upaya Pemulihan

Tindakan Segera $200 1-3 April$10

· Semua fungsi protokol dibekukan
· Dompet yang terkompromi dihapus dari multisig
· Alamat penyerang ditandai di bursa dan operator jembatan
· Pesan on-chain dikirim ke dompet peretas: "Kami siap bicara"

Upaya Negosiasi (3 April)

Drift mengirim pesan on-chain ke empat dompet Ethereum yang menyimpan dana curian, menyatakan:

"Informasi penting terkait pihak yang terkait dengan eksploitasi telah diidentifikasi. Kepada komunitas, Drift akan membagikan pembaruan lebih lanjut setelah atribusi pihak ketiga selesai."

Satu-satunya respons? Sebuah dompet acak yang memegang $1 dalam ETH( membalas: *"Kirim saya )juta$300M untuk mengacaukan tim Drift."*

Investigasi Forensik

· Mandiant dilibatkan memimpin investigasi forensik
· Tim SEAL 911 (Taylor Monahan, tanuki42_, pcaversaccio, Nick Bax) diakui karena mengidentifikasi pelaku
· Atribusi resmi menunggu forensik perangkat selesai

Apa yang dikatakan tanuki42_

"Ini adalah serangan paling rumit dan tertarget yang pernah saya lihat dilakukan oleh DPRK di ruang crypto. Merekrut beberapa fasilitator dan membuat mereka menargetkan orang tertentu secara langsung di acara crypto besar adalah taktik yang gila."

---

8. Mengapa Ini Mengubah Segalanya untuk DeFi

Kebenaran Berat

"Jika penyerang bersedia menghabiskan enam bulan, menginvestasikan (juta) di ekosistem, bertemu tim secara langsung, menyetor modal nyata, dan menunggu dengan sabar—model keamanan apa yang dirancang untuk mendeteksi itu?"

Pelajaran yang Dipetik

1. Lock time bukan pilihan. Menghapus lock time (seperti yang dilakukan Drift pada 27 Maret) mengubah serangan kompleks menjadi pencairan dana selama 12 menit
2. Rekayasa sosial > eksploitasi kode. Audit kode paling canggih pun tidak akan menghentikan manusia membuka folder VSCode berbahaya atau menginstal aplikasi TestFlight
3. Keamanan berizin vs. tanpa izin penting. Kontras USDT0 vs. CCTP menunjukkan adanya trade-off nyata dalam desain stablecoin
4. Korea Utara tetap ada. Elliptic melacak lebih dari (stolen) hanya di Q1 2026, dengan pelaku terkait DPRK bertanggung jawab atas lebih dari $6,5 miliar dalam beberapa tahun terakhir

Apa Selanjutnya untuk Drift

· Kecuali dana dipulihkan atau muncul jaminan besar, kemungkinan besar menuju likuidasi, kebangkrutan, atau litigasi
· Belum ada rencana penggantian lengkap yang diumumkan per 3-5 April
· Probabilitas pemulihan jika DPRK terlibat: 0% #DriftProtocolHacked menurut Michael Egorov#DriftProtocolHacked

---

9. Dompet Utama & Data On-Chain

Dompet ETH Penyerang Post-bridge

· 0xAa843eD65C1f061F111B5289169731351c5e57C1
· 0xd3feed5da83d8e8c449d6cb96ff1eb06ed1cf6c7
· 0x0fe3b6908318b1f630daa5b31b49a15fc5f6b674

Total yang dimiliki: sekitar 105.969 ETH ~$226 juta

Pengirim Pesan On-Chain Drift:

· 0x0934faC45f2883dd5906d09aCfFdb5D18aAdC105

---

Kesimpulan Akhir

Ini bukan peretasan. Ini adalah operasi intelijen musuh selama enam bulan yang dilakukan oleh negara terhadap protokol DeFi. Para penyerang:

· Menggunakan perantara pihak ketiga dengan identitas palsu tapi sempurna
· Bertemu target secara langsung di konferensi di berbagai negara
· Menyetor lebih dari $1 juta modal nyata sebagai kedok
· Memanfaatkan alat pengembang terpercaya VSCode dan TestFlight Apple
· Melaksanakan drainase yang sangat tepat waktu, selama 12 menit

Jika DeFi ingin bertahan, industri harus menerima bahwa rekayasa sosial dan aktor negara adalah model ancaman saat ini—bukan hanya bug kontrak pintar.

"Investigasi menunjukkan bahwa profil yang digunakan memiliki identitas lengkap termasuk riwayat pekerjaan, kredensial publik, dan jaringan profesional yang mampu bertahan dari pemeriksaan selama hubungan bisnis." — Drift Protocol