Drift Protocol Dicuri 285 Juta Dolar: Hacker Korea Utara Berencana 6 Bulan, Memanfaatkan Durable Nonce untuk Mengakali Tanda Tangan Ganda

Solana di jaringan tersebut, perjanjian derivatif terkenal Drift Protocol diserang peretas pada 1 April, mengalami kerugian sekitar 285 juta dolar AS. Nilai terkunci di platform (TVL) turun dari sekitar 550 juta dolar AS sebelum kejadian menjadi sekitar 230 juta dolar AS setelah insiden. Tim Drift kemudian merilis laporan investigasi terperinci, mengungkap bahwa ini adalah serangan rekayasa sosial yang berlangsung selama 6 bulan dan didukung sumber daya tingkat negara.

Persembunyian selama 6 bulan: dari konferensi kripto hingga repositori kode

Berdasarkan investigasi Drift, penyerang mulai menyiapkan penerapan sejak musim gugur 2025. Mereka menyamar sebagai perusahaan perdagangan kuantitatif yang sah, berinteraksi dengan kontributor Drift di beberapa konferensi kripto, dan membangun hubungan profesional yang tampak nyata. Selama masa penyusupan yang berlangsung hingga 6 bulan, penyerang:

Membuat grup Telegram, mendiskusikan strategi perdagangan dengan tim Drift

Membangun kredibilitas di Vault ekosistem menggunakan dana nyata (lebih dari 1 juta dolar AS)

Mengadakan beberapa pertemuan kerja di banyak negara

Pada akhirnya, peretasan kemungkinan dilakukan melalui dua jalur: satu kontributor menyalin sebuah repositori kode yang berpotensi mengeksploitasi kerentanan yang diketahui pada VSCode/Cursor; dan kontributor lainnya mengunduh TestFlight App yang disediakan penyerang dengan nama “produk dompet”.

Teknik teknis: transaksi prapenandatangan Durable Nonce untuk mengakali multi-sig

Dari sisi teknis, penyerang menggunakan mekanisme akun “Durable Nonce” di Solana—yaitu fitur yang memungkinkan penandatanganan transaksi terlebih dahulu, dengan eksekusi yang ditunda. Penyerang memanfaatkannya untuk menyiapkan terlebih dahulu semua tanda tangan transaksi berbahaya, lalu setelah memperoleh izin yang cukup, mengeksekusinya seketika, sehingga memberikan waktu respons yang sangat minim bagi pihak pertahanan.

Penyerang dengan cepat memperoleh kendali manajemen Komite Keamanan Drift, lalu mengosongkan aset terkait. Setelah kejadian, Drift menegaskan bahwa semua anggota multi-sig menggunakan cold wallet, tetapi serangan tetap tidak dapat dicegah, yang menunjukkan bahwa “ketika serangan mengunci pada lapisan tingkat manusia, bahkan pengendalian perangkat keras yang ketat pun dapat diakali”.

Mengarah ke Korea Utara UNC4736: dengan kelompok yang sama seperti serangan Radiant Capital

Drift menyatakan, dengan “tingkat keyakinan tinggi”, serangan ini diatribusikan kepada UNC4736 (juga dikenal sebagai Citrine Sleet, AppleJeus), sebuah kelompok peretas yang terkait dengan pemerintah Korea Utara. Investigasi menunjukkan bahwa pola kejadian sangat mirip dengan serangan pada Oktober 2024 yang menyebabkan Radiant Capital kehilangan 58 juta dolar AS, sehingga diduga dilakukan oleh pelaku yang sama.

Dikritik atas Circle: mengapa gagal membekukan USDC yang dicuri secara cepat?

Setelah serangan, fokus kontroversi lain adalah kecepatan respons Circle. Berdasarkan data PeckShield, penyerang mencuri sekitar 71 juta dolar AS USDC dari Drift, dan setelah mengonversi aset lain yang dicuri menjadi USDC, mereka menggunakan protokol transfer lintas rantai Circle (CCTP) untuk menjembatani sekitar 232 juta dolar AS USDC dari Solana ke Ethereum, sehingga tingkat kesulitan untuk mengejar kembali meningkat secara signifikan.

Penyelidik on-chain terkemuka ZachXBT mengkritik tindakan Circle yang terlalu lambat, serta menunjuk perbandingan yang menyindir: pada hari yang sama ketika penyerang menyiapkan akun Durable Nonce (23 Maret), Circle justru membekukan 16 dompet panas komersial dalam hitungan menit, dipicu oleh sebuah gugatan perdata di AS—namun menghadapi serangan DeFi dengan skala jauh melampaui angka sembilan digit, tidak ada tindakan yang setara cepat.

Respons Circle adalah: “Circle adalah perusahaan yang diatur, dan beroperasi sesuai dengan ketentuan sanksi, perintah penegakan hukum, serta perintah pengadilan. Kami membekukan aset dalam situasi yang diwajibkan oleh hukum, untuk mematuhi prinsip supremasi hukum dan melindungi hak serta privasi pengguna.” Penasihat hukum Plume kemudian menyerukan kepada lembaga legislatif untuk membangun mekanisme “safe harbor”, agar penerbit stablecoin dapat membekukan aset ketika memiliki dasar yang wajar untuk percaya bahwa dana tersebut diduga melanggar hukum, tanpa menghadapi tanggung jawab perdata.

Peringatan untuk industri DeFi

Pengumuman Drift mendapat perhatian luas di kalangan industri. Insiden ini jelas menunjukkan bahwa organisasi peretas tingkat negara sedang menjalankan aksi intelijen manusia (HUMINT) selama berbulan-bulan terhadap protokol DeFi, bukan hanya mengandalkan celah teknis. Pelajaran kunci termasuk: jangan menyalin repositori eksternal ke mesin yang digunakan untuk akses kunci produksi atau multi-sig; jangan memasang aplikasi pihak ketiga atau membuka tautan yang tidak dikenal. Pemisahan perangkat dan hak akses harus diterapkan secara menyeluruh.

Artikel ini “Drift Protocol Diserang dan Kehilangan 285 Juta Dolar AS: Peretas Korea Utara Menyiapkan 6 Bulan, Menggunakan Durable Nonce untuk Mengakali Multi-Sig” pertama kali muncul di Chain News ABMedia.