Kronologi Kasus Peretas Drift: Peretasan Korea Utara Menyusup Selama 6 Bulan, Bagaimana Menciptakan Perampokan DeFi Terbesar pada Musim Semi 2026

Drift 遭北韓組織滲透逾半年，利用 rekayasa sosial dan Durable Nonce merampas sekitar 8B dolar AS aset, menghancurkan kepercayaan keamanan DeFi.

Rencana cermat selama lebih dari setengah tahun: dari basa-basi pertemuan menjadi kasus perampokan 280M

Pada 1 April, yang seharusnya menjadi hari April Mop yang penuh lelucon, bursa kontrak berkelanjutan terkemuka di ekosistem Solana, Drift Protocol, justru mendapat pukulan yang sangat telak. Serangan ini dalam waktu singkat 10 detik menyebabkan sekitar 2,8 hingga 280M dolar AS aset pengguna lenyap begitu saja, mencatat rekor peretasan terbesar untuk skala industri DeFi sejak tahun 2026.

• Berita terkait: Platform DeFi Drift diretas pada April Mop! Peretas mengosongkan aset senilai 280M dolar AS, kunci manajer menjadi celah

Menurut laporan investigasi yang dipublikasikan tim Drift setelah kejadian, peristiwa ini berawal dari aksi intelijen “terstruktur” yang dipersiapkan selama lebih dari 6 bulan dan memiliki latar belakang organisasi tingkat negara. Investigasi awal menunjukkan bahwa aksi tersebut memiliki keterkaitan yang sangat tinggi dengan organisasi ancaman Korea Utara UNC4736 (juga dikenal sebagai AppleJeus atau Citrine Sleet), yang pernah melancarkan serangan senilai 50 juta dolar AS terhadap Radiant Capital pada Oktober 2024. Aksi infiltrasi terhadap Drift ini melewati penemuan celah kode tradisional; alih-alih itu, pelaku melakukan manipulasi manusia dengan tingkat ketepatan yang sangat tinggi, sehingga mengelabui perlindungan berlapis seperti audit kode dan dompet perangkat keras.

Sumber gambar: X/@DriftProtocol Laporan investigasi yang dipublikasikan tim Drift setelah kejadian, kejadian ini berasal dari aksi intelijen “terstruktur” yang dipersiapkan selama lebih dari 6 bulan dan memiliki latar belakang organisasi tingkat negara

Strategi “agen bayangan” peretas Korea Utara

Kebohongan berdurasi panjang ini dimulai dari sebuah konferensi besar mata uang kripto pada Oktober 2025. Saat itu, sejumlah orang yang mengaku sebagai perwakilan perusahaan trading kuantitatif secara aktif mendekati anggota inti Drift, menyatakan minat untuk bekerja sama dalam integrasi protokol dan penyediaan likuiditas.

Dalam enam bulan berikutnya, kelompok peretas ini menunjukkan disiplin profesional dan kecakapan teknis yang sangat tinggi. Mereka membahas strategi trading secara intens dengan tim pengembang melalui kanal Telegram; bahkan pada periode Desember 2025 hingga Januari 2026, secara nyata menerapkan sebuah “Ecosystem Vault” (Brankas Ekosistem) yang lengkap fungsinya di Drift, serta menyetor lebih dari 1 juta dolar AS dana mereka sendiri untuk membangun kredibilitas.

Perlu dicatat bahwa individu yang hadir di lokasi rapat dan mempresentasikan diri sebagai tim Drift ternyata bukan berkewarganegaraan Korea Utara, yang menunjukkan bahwa peretas Korea Utara kerap mempekerjakan pihak perantara ketiga atau agen dengan identitas yang sempurna untuk melakukan rekayasa sosial secara langsung. Pola “menanam” ini berhasil membuat tim Drift lengah, menganggap ancaman yang bersembunyi sebagai mitra kerja sama jangka panjang yang dapat diandalkan.

Durable Nonce dan celah alat pengembangan

Setelah membangun kepercayaan yang mendalam, peretas mulai menjalankan rencana intrusi terakhir, yaitu menginfeksi perangkat kerja pengembang dengan membagikan repositori kode berbahaya (Repo) atau mengundang pemasangan versi uji aplikasi (TestFlight). Investigasi menunjukkan bahwa penyerang memanfaatkan celah keamanan serius yang ada pada alat pengembangan saat itu, yaitu VSCode dan Cursor; pengembang cukup membuka folder tertentu di dalam editor, lalu kode berbahaya akan otomatis dijalankan tanpa pemberitahuan.

Begitu berhasil mengambil alih perangkat dua anggota Security Council, peretas kemudian mengarahkan mereka untuk menandatangani perintah otorisasi yang memiliki hak pengelolaan. Setelah itu, mereka memanfaatkan fitur yang sah di jaringan Solana bernama “Durable Nonces” untuk menyimpan perintah transaksi yang telah ditandatangani sebelumnya di blockchain selama hingga satu minggu guna menghindari deteksi.

Hingga 1 April, jebakan sepenuhnya ditutup (dibereskan), dan peretas mengeksekusi 31 transaksi penarikan dalam waktu 10 detik. Aset yang terdampak sangat luas, termasuk token $JLP senilai 155 juta dolar AS, serta lebih dari 66,40 juta $USDC, 477 ribu $WETH, dan berbagai aset utama lain, yang menyebabkan nilai total terkunci (TVL) Drift anjlok dari 550 juta dolar AS menjadi kurang dari 250 juta dolar AS; harga token asli DRIFT juga ikut terjun lebih dari 98%.

Kontroversi kelalaian perdata dan ancaman AI, peralihan paksa sebagai teladan keamanan DeFi

Insiden ini memicu kritik keras dari kalangan hukum dan teknologi. Penasihat hukum kripto Ariel Givner menunjukkan bahwa tindakan tim Drift mungkin memenuhi unsur “kelalaian perdata”, karena tim pengembang tidak mengikuti prosedur keamanan operasi dasar, seperti menyimpan kunci yang ditandatangani pada perangkat fisik yang benar-benar terisolasi (Air-gapped systems), serta membuka file eksternal yang sumbernya tidak jelas pada perangkat yang terhubung dengan manajemen otorisasi.

Sumber gambar: X/@GivnerAriel Ariel Givner, pengacara kripto, menyatakan bahwa tindakan tim Drift berpotensi merupakan “kelalaian perdata”

Pada saat yang sama, Chief Technology Officer Ledger Charles Guillemet memperingatkan bahwa seiring berkembang dan meluasnya teknologi AI, biaya untuk rekayasa sosial yang cermat seperti ini semakin mendekati nol. AI dapat menghasilkan identitas palsu dan dokumen teknis yang sangat meyakinkan, sehingga garis pertahanan manusia menjadi semakin rapuh. Saat ini Drift telah membekukan semua fungsi protokol, dan mencoba melakukan negosiasi on-chain dengan dompet peretas, namun berbagai pihak cenderung pesimistis terhadap peluang pengembalian dana.

Insiden perampokan ini memberi peringatan berat bagi industri secara keseluruhan: ketika peretas sudah beralih untuk menyerang psikologi manusia, bukan logika kode, hanya mengandalkan tata kelola dompet multi-tanda tangan tidak lagi dapat menjamin keamanan aset. Memperkuat disiplin operasional dan isolasi perangkat keras adalah satu-satunya jalan keluar untuk mencegah ancaman tingkat negara.

Bacaan lanjutan
Drift遭駭誰的錯？駭客跨鏈資產卻未凍結，ZachXBT痛批Circle失職