Pada 1 April 2026 pukul 16.00 UTC, total aset di kas Drift Protocol tercatat sebesar $309 juta. Hanya satu jam kemudian, yang tersisa tinggal $41 juta. Ini bukan lelucon April Mop—tim Drift harus menegaskan di X bahwa "ini bukan lelucon April Mop." Penyerang berhasil menguras sekitar $285 juta aset kripto dari protokol tersebut, menjadikannya eksploitasi DeFi terbesar di tahun 2026 sejauh ini, sekaligus insiden keamanan paling parah di ekosistem Solana sejak peretasan Wormhole bridge senilai $325 juta pada tahun 2022.
Insiden ini bukan serangan flash loan atau eksploitasi kode smart contract. Sebaliknya, penyerang menggabungkan vektor serangan yang jarang dibahas—pre-signature durable nonce—dengan kerentanan tata kelola multisig, hanya bermodal $500 untuk membobol aset senilai $285 juta. Artikel ini menyajikan ulasan sistematis atas insiden tersebut, meliputi kronologi kejadian, analisis teknis, rincian data, kontroversi, serta dampaknya terhadap industri.
Dari $309 Juta Menjadi $41 Juta dalam Satu Jam
Pada 1 April 2026, firma pemantau blockchain Lookonchain dan PeckShield secara bersamaan mendeteksi aktivitas tidak biasa: sebuah alamat dompet "HkGz4K," yang baru dibuat delapan hari sebelumnya, mulai mentransfer aset secara masif dari beberapa kas utama Drift. Transaksi pertama melibatkan 41,7 juta token JLP senilai sekitar $155,6 juta. Dalam waktu sekitar 12 menit dan 31 transaksi, penyerang menguras aset termasuk USDC, SOL, cbBTC, wBTC, WETH, token pool likuiditas, hingga meme coin Fartcoin.
Dalam waktu satu jam setelah serangan, aset kas Drift anjlok dari sekitar $309 juta menjadi $41 juta. PeckShield dan Arkham Intelligence secara independen mengonfirmasi kerugian sekitar $285 juta. Pendiri SlowMist, Cosine, memperkirakan kerugian melebihi $200 juta. Dari seluruh aset yang dicuri, token JLP menyumbang sekitar $155,6 juta, USDC sekitar $60 juta, sisanya berupa SOL, cbBTC, wBTC, dan berbagai token likuiditas.
Operasi Tiga Minggu yang Direncanakan dengan Cermat
Serangan ini bukan aksi spontan, melainkan operasi multi-tahap yang dirancang secara matang. Penyerang mulai melakukan persiapan sejak pertengahan Maret, dengan kronologi lengkap sebagai berikut:
| Tahap | Tanggal | Aksi Kunci |
|---|---|---|
| Pra-persiapan | ~11 Maret | Membuat token CVT, total suplai ~750 juta, penyerang menguasai lebih dari 80% |
| Pra-persiapan | ~11 Maret | Meluncurkan pool likuiditas $500 di Raydium, memalsukan sinyal harga lewat wash trading |
| Migrasi Multisig | ~23 Maret | Drift beralih ke model multisig 2/5, menambah 4 penandatangan baru, tanpa timelock |
| Fase Pre-signature | Mulai 23 Maret | Penyerang membuat akun durable nonce untuk dua penandatangan multisig, memperoleh persetujuan pre-signature |
| Migrasi Multisig Sah | 27 Maret | Drift melakukan migrasi multisig sah, namun penyerang kembali mendapatkan akses ke penandatangan baru |
| Eksekusi Serangan | 1 April, 16.05 UTC | Penyerang menggunakan durable nonce untuk mengeksekusi transaksi pre-signature secara batch, merebut hak admin |
| Pengurasan Aset | 1 April, 16.05-17.05 UTC | Meluncurkan pasar spot CVT → menonaktifkan perlindungan penarikan → menarik aset nyata dengan jaminan palsu |
| Transfer Aset | Beberapa jam setelah serangan | Menukar aset ke USDC, menjembatani ke Ethereum via CCTP, membeli ETH |
Pernyataan resmi Drift menggambarkan serangan ini sebagai "sangat canggih, dipersiapkan selama beberapa minggu, dan dieksekusi secara bertahap." Penyerang mengirimkan transaksi pre-signature secara kontinu dari 23 Maret hingga 1 April, menunjukkan tingkat organisasi yang tinggi.
Rantai Serangan $500 Menjadi $285 Juta
Langkah 1: Pre-signature Durable Nonce—Bom Waktu yang Melewati Timelock
Fitur durable nonce Solana memungkinkan pengguna melakukan pre-sign transaksi dan menyimpannya on-chain untuk dieksekusi di masa depan. Awalnya dirancang untuk meningkatkan pengalaman pengguna—memungkinkan penandatanganan offline dan pengiriman kemudian—mekanisme ini berubah menjadi senjata dalam eksploitasi Drift.
Penyerang memanfaatkan akun durable nonce untuk memperoleh persetujuan pre-signature dari dua penandatangan multisig. Transaksi pre-signature ini diselesaikan antara 23 dan 27 Maret, namun baru dieksekusi secara massal pada 1 April.
Sekitar 23 Maret, Drift beralih ke model multisig "2/5" (2 dari 5 penandatangan dapat mengesahkan operasi berhak istimewa tinggi), menambah 4 penandatangan baru dan, yang krusial, tanpa timelock.
Timelock adalah langkah keamanan vital pada pengaturan multisig. Tanpanya, setelah penyerang mendapatkan cukup tanda tangan, mereka bisa langsung mengeksekusi aksi level admin tanpa jeda. Pendiri SlowMist, Cosine, menyoroti hal ini sebagai prasyarat utama keberhasilan serangan.
Eksploitasi Resolv (sekitar 10 hari sebelum Drift) juga berakar dari ketiadaan multisig—Resolv bahkan tidak memiliki multisig sama sekali. Dua insiden dalam 10 hari ini menguak kelemahan sistemik dalam struktur tata kelola protokol DeFi.
Langkah 2: Token Palsu CVT $500—Tuas untuk $285 Juta
Penyerang membuat token bernama CarbonVote Token (CVT) dengan total suplai sekitar 750 juta, menguasai lebih dari 80% di dompetnya. Mereka meluncurkan pool likuiditas minimal $500 di Raydium dan melakukan wash trading untuk menciptakan ilusi aktivitas pasar.
Fungsi initializeSpotMarket Drift memungkinkan admin menentukan alamat oracle dan sumber harga secara langsung. Setelah memperoleh hak admin, penyerang mendaftarkan CVT sebagai pasar spot dan memanipulasi data harga oracle, menipu sistem agar menganggap CVT sebagai aset bernilai.
Manipulasi oracle merupakan salah satu vektor serangan paling destruktif di DeFi. Ketika penyerang menguasai hak admin dan harga oracle, aset apapun bisa "dinaikkan harganya"—sehingga token CVT yang tak bernilai dapat digunakan sebagai jaminan untuk menarik USDC, SOL, dan JLP sungguhan.
Langkah 3: Menonaktifkan Pengaman—Mengubah Fitur Keamanan Menjadi Alat Serangan
Protokol Drift dilengkapi kontrol risiko seperti pemeriksaan validitas oracle, trimming TWAP, bandwidth deviasi harga, dan circuit breaker multi-level. Setelah mendapatkan hak admin, penyerang menonaktifkan seluruh perlindungan ini.
Urutan aksi penyerang: mencetak CVT palsu → memanipulasi oracle → menonaktifkan mekanisme keamanan → menghapus pembatasan penarikan → menguras aset bernilai tinggi.
Serangan dieksekusi pada 1 April pukul 16.05 UTC, kemungkinan karena dua alasan: seluruh transaksi pre-signature sudah siap, dan akhir pekan yang mendekat dapat memperlambat respons keamanan.
Langkah 4: Pelarian Cross-chain—Memindahkan Aset dari Solana ke Ethereum
Setelah eksploitasi, penyerang segera menukar aset curian ke USDC melalui Jupiter Aggregator, lalu menjembatkannya dari Solana ke Ethereum menggunakan Circle’s Cross-Chain Transfer Protocol (CCTP).
Dalam hitungan jam, penyerang telah membeli 13.000 ETH di Ethereum. Pelacakan SlowMist menunjukkan dana curian terkonsolidasi di alamat Ethereum, total sekitar 105.969 ETH (senilai ~$226 juta). Penyerang kemudian memperbesar jumlah ini menjadi sekitar 130.262 ETH, senilai ~$267 juta.
Menariknya, penyerang sengaja menghindari penggunaan USDT, memilih USDC sepanjang transfer cross-chain. Peneliti keamanan on-chain, Specter, mencatat hal ini mencerminkan keyakinan penyerang bahwa Circle tidak akan membekukan dana—penilaian yang akhirnya terbukti benar.
Membongkar Polemik Publik
Insiden ini memicu sejumlah kontroversi dan narasi utama di pasar.
Kontroversi 1: "Diamnya" Circle—Dari Kritik ZachXBT hingga Refleksi Kebijakan Industri
Pada 2 April, investigator on-chain ZachXBT secara terbuka mengkritik Circle, menyatakan bahwa puluhan juta USDC dijembatkan dari Solana ke Ethereum via CCTP "selama beberapa jam tanpa intervensi" pada jam perdagangan AS setelah serangan Drift. ZachXBT mengklaim Circle punya waktu respons sekitar enam jam namun tidak mengambil tindakan pembekuan.
Beberapa hari sebelumnya (23 Maret), Circle membekukan setidaknya 16 hot wallet perusahaan dalam kasus perdata tertutup, berdampak pada bursa, prosesor pembayaran, dan bisnis legal lainnya. ZachXBT menyebut ini "pembekuan paling tidak profesional yang saya lihat dalam lima tahun." Circle kemudian mencairkan satu wallet yang terkait Goated.com pada 26 Maret, namun sebagian besar masih dibekukan perlahan.
Insiden ini memicu perdebatan tentang sejauh mana penerbit stablecoin harus bertindak proaktif dalam insiden keamanan DeFi. Kritikus menilai Circle bertindak cepat dalam kasus perdata, namun diam dalam pencurian sembilan digit, menunjukkan standar intervensi yang tidak konsisten. Pendukung berargumen bahwa penerbit stablecoin tidak seharusnya bertanggung jawab atas pemulihan aset on-chain—hak intervensi hanya untuk proses hukum, bukan pengawasan on-chain.
Jika Circle membekukan USDC terkait selama jendela serangan, penyerang mungkin gagal menjembatkan dana ke Ethereum, dan peluang pemulihan aset bisa lebih besar. Namun, ini mengasumsikan Circle dapat mengonfirmasi status ilegal dana dan bertindak dalam hitungan jam—tantangan secara hukum dan prosedural.
Kontroversi 2: Dugaan Keterlibatan Lazarus Group Korea Utara
Firma analitik blockchain Elliptic merilis laporan pada 2 April yang menyatakan bahwa "berbagai indikator" mengarah pada dugaan keterlibatan kelompok peretas negara Korea Utara. Elliptic menyebut perilaku on-chain, metode pencucian, dan indikator jaringan sangat konsisten dengan operasi Korea Utara sebelumnya. Jika terkonfirmasi, ini akan menjadi serangan ke-18 yang terkait Korea Utara yang dipantau Elliptic sepanjang 2026.
CTO Ledger, Charles Guillemet, membandingkan serangan ini dengan peretasan Bybit senilai $1,5 miliar pada 2025, menyoroti pola identik: kompromi penandatangan multisig, rekayasa sosial, dan transaksi jahat yang disamarkan sebagai operasi rutin.
Infiltrasi peretas Korea Utara di industri kripto telah bergeser dari "serangan sesekali" menjadi "aksi negara yang sistematis dan berkelanjutan." Pada 2025, peretas terkait Korea Utara mencuri lebih dari $2 miliar kripto. Jika Lazarus berada di balik serangan Drift, ini menandakan mereka telah menguasai metode serangan canggih yang menargetkan tata kelola multisig Solana.
Kontroversi 3: Cacat Struktural dalam Tata Kelola Multisig
Pendiri SlowMist, Cosine, menyoroti bahwa ambang multisig 2/5 berarti cukup mengkompromikan dua orang untuk mengendalikan seluruh protokol. "Berapa biaya mengkompromikan dua orang? Bukan $285 juta—cukup beberapa bulan rekayasa sosial dan phishing tertarget."
Praktik terbaik industri umumnya merekomendasikan pengaturan multisig 4/7 dengan timelock 24–48 jam. Timelock memberlakukan periode tunggu wajib sebelum perubahan berisiko tinggi dieksekusi, memberi waktu komunitas dan tim keamanan untuk mendeteksi dan bertindak. Setelah migrasi multisig Drift, timelock = 0.
Insiden ini menguak bukan celah keamanan smart contract, melainkan "celah keamanan tata kelola." Meski audit kode dilakukan oleh tim terbaik, jika struktur tata kelola cacat, eksposur risiko protokol tak terbatas.
Analisis Dampak Industri
Guncangan Kepercayaan Ekosistem Solana
Drift adalah bursa perpetual terdesentralisasi terbesar di Solana, dengan volume perdagangan kumulatif lebih dari $55 miliar, TVL di atas $1 miliar, dan lebih dari 200.000 trader aktif sebelum serangan. Ini merupakan insiden keamanan terburuk di Solana sejak peretasan Wormhole $325 juta pada 2022.
Harga SOL turun sekitar 9% setelah berita beredar, sempat menyentuh sekitar $78,60, dengan volume perdagangan 24 jam melonjak ke $5,2 miliar. Total TVL Solana turun ke $6,544 miliar, dengan arus keluar dana dari protokol utama seperti Jito, Raydium, dan Sanctum.
Penurunan TVL dan menurunnya aktivitas DEX mencerminkan bukan sekadar koreksi harga, tetapi juga penurunan kepercayaan ekosistem. Saat penyedia likuiditas menarik dana, kedalaman pasar menipis, memperbesar volatilitas. Ketua Solana Foundation, Lily Liu, menyebut insiden ini sebagai "pukulan berat," namun menekankan bahwa kerentanan nyata kini menargetkan "manusia: rekayasa sosial dan kelemahan operasional, bukan bug kode."
Meninjau Ulang Audit Keamanan DeFi
Baik Trail of Bits maupun ClawSecure telah mengaudit kode Drift. Namun serangan ini tidak menyentuh satu baris kode pun.
Audit tradisional berfokus pada "execution layer"—memeriksa bug pada kode saat runtime. Serangan ini terjadi di "authorization layer"—penyerang memperoleh otorisasi tanda tangan sah, sehingga seluruh aksi yang dieksekusi tampak sepenuhnya legal. Ini menguak titik buta sistemik dalam audit keamanan DeFi: audit dapat memeriksa bug kode, namun tidak dapat memastikan hak akses diberikan dengan benar.
Batas nilai audit keamanan kini sedang didefinisikan ulang. Keamanan kode hanyalah syarat minimum untuk keselamatan DeFi. Tata kelola multisig, keamanan tanda tangan, pertahanan rekayasa sosial, konfigurasi timelock, dan redundansi oracle—unsur "keamanan proses" ini seringkali lebih krusial daripada audit kode itu sendiri, namun biasanya di luar cakupan audit.
Dilema Peran Penerbit Stablecoin
Insiden ini memaksa industri untuk meninjau ulang: apa peran penerbit stablecoin? USDC dan USDT sama-sama memberi kewenangan sepihak kepada penerbit untuk membekukan alamat, yang dimaksudkan untuk penegakan hukum dan perintah pengadilan. Namun ketika terjadi pencurian sembilan digit, haruskah penerbit proaktif menggunakan kewenangan ini? Jika ya, apa standarnya? Jika tidak, apakah kewenangan ini benar-benar bernilai?
Isu yang lebih pelik adalah intervensi selektif. Circle membekukan 16 wallet perusahaan dalam kasus perdata, namun tidak bertindak dalam pencurian yang sudah terkonfirmasi. Ketidakkonsistenan ini bisa merusak kepercayaan industri lebih dari "tidak pernah intervensi" sama sekali.
Proyeksi Skenario yang Mungkin Terjadi
Berdasarkan informasi saat ini, beberapa perkembangan ke depan mungkin terjadi:
Skenario 1: Dana Sulit Dipulihkan, Dana Asuransi Memberikan Kompensasi Parsial
Alasan: Penyerang telah mengonversi sekitar $267 juta ke ETH dan mencucinya melalui jembatan lintas rantai dan mixer. Secara historis, tingkat pemulihan aset pada eksploitasi DeFi besar sangat rendah. Dana asuransi Drift tidak tersentuh dan mungkin digunakan untuk kompensasi sebagian pengguna.
Variabel Kunci: Keterlibatan penegak hukum, efektivitas pelacakan on-chain, kerja sama dari jembatan lintas rantai dan bursa terpusat.
Skenario 2: Peningkatan Sistemik Standar Keamanan Ekosistem Solana
Alasan: Insiden ini menguak kelemahan sistemik pada tata kelola multisig Solana, pengaturan timelock, dan pertahanan rekayasa sosial. Industri mungkin mendorong standar lebih ketat, termasuk timelock wajib, ambang multisig lebih tinggi, audit endpoint tanda tangan, dan oracle multi-sumber.
Variabel Kunci: Kemauan protokol besar berinvestasi di keamanan, perluasan layanan firma audit, responsivitas tata kelola komunitas.
Skenario 3: Kejelasan Regulasi Stablecoin Dipercepat
Alasan: Peran kontroversial Circle dapat mendorong regulator memperjelas aturan terkait kewajiban intervensi penerbit stablecoin. Isu inti meliputi: Sejauh mana penerbit harus memantau aliran on-chain? Dalam kondisi apa alamat boleh/mesti dibekukan? Otorisasi hukum apa yang dibutuhkan untuk intervensi?
Variabel Kunci: Kemajuan legislasi di AS dan yurisdiksi utama lain, pembentukan badan swadisiplin industri, perubahan persaingan pasar stablecoin.
Skenario 4: Taktik Serangan Ditiru, Lebih Banyak Protokol Terancam
Alasan: Teknik inti—pre-signature durable nonce dikombinasikan dengan jendela migrasi multisig—hampir tak pernah dipublikasikan sebelum serangan ini. Protokol Solana lain dengan pengaturan multisig serupa tanpa timelock bisa menghadapi risiko yang sama.
Variabel Kunci: Kecepatan respons audit keamanan, motivasi dan batas etika penyerang (jika terkait Korea Utara, risiko imitasi meningkat tajam).
Kesimpulan
Eksploitasi Drift Protocol senilai $285 juta adalah cermin, yang memantulkan bukan rapuhnya kode smart contract, melainkan retakan tata kelola DeFi yang lama diabaikan: ambang multisig 2/5, absennya timelock, keamanan endpoint tanda tangan yang diremehkan, dan ketidakpastian hak intervensi penerbit stablecoin.
Sementara industri mengalokasikan sebagian besar anggaran keamanan untuk audit kode, penyerang memilih jalur yang lebih murah dan menguntungkan—menargetkan manusia. Inilah tantangan inti keamanan DeFi tahun 2026: keamanan kode saja tidak lagi cukup. Keamanan tata kelola, operasional, dan pertahanan rekayasa sosial harus mendapat prioritas setara dengan audit smart contract.
Guncangan kepercayaan pada ekosistem Solana mungkin bertahan berbulan-bulan, bahkan lebih. Namun bagi industri DeFi secara luas, ini bisa menjadi uji stres sistemik yang sudah lama tertunda—pengingat bahwa dalam sistem keuangan tanpa otoritas pusat, setiap lapisan keamanan adalah mata rantai yang tak tergantikan. Dan kekuatan rantai itu ditentukan oleh mata rantai terlemahnya.
