#DriftProtocolHacked #DriftProtocolHacked

Serangan canggih yang melibatkan collateral palsu, transaksi pra-tanda tangan, dan taktik Grup Lazarus Korea Utara menghapus lebih dari setengah TVL Drift pada 1 April 2026.

Ringkasan Serangan

Pada 1 April 2026, DEX futures perpetual terbesar di Solana, Drift Protocol, mengalami eksploitasi katastrofik yang mengakibatkan kerugian sebesar $286 juta di berbagai vault aset.

Yang membuat serangan ini sangat mengkhawatirkan adalah bahwa serangan ini tidak melibatkan kerentanan kontrak pintar atau kompromi seed phrase. Sebaliknya, penyerang melaksanakan operasi yang direncanakan dengan cermat yang menggabungkan:

· Rekayasa sosial terhadap penandatangan multisig
· Transaksi pra-tanda tangan nonce tahan lama
· Pembuatan collateral palsu senilai $0 dimanipulasi agar tampak seperti $100M+
· Penghapusan perlindungan timelock

TVL runtuh dari sekitar $550 juta menjadi di bawah $250 juta dalam waktu satu jam. Token DRIFT turun 45%, mencapai sekitar $0,04.

---

Garis Waktu: Operasi 3 Minggu

Fase 1: Penyiapan Infrastruktur (11-23 Maret)

Operasi dimulai pada 11 Maret ketika penyerang menarik ETH dari Tornado Cash, protokol privasi. Pada 12 Maret, mereka meluncurkan Token CarbonVote (CVT) — terutama sekitar pukul 09:00 waktu Pyongyang, sebuah tanda bahaya yang kemudian mengaitkan serangan ini dengan Korea Utara.

Dalam minggu-minggu berikutnya, penyerang:

· Mencetak 750 juta token CVT (senilai secara esensial $0)
· Menyuntikkan likuiditas minimal (~$500) di Raydium DEX
· Menggunakan wash trading untuk mempertahankan harga CVT mendekati $1,00 secara artifisial
· Membuat 4 akun nonce tahan lama — 2 terkait penandatangan Dewan Keamanan Drift, 2 di bawah kendali penyerang

Fase 2: Pra-Tanda Tangan & Kompromi Multisig (23-30 Maret)

Menggunakan fitur nonce tahan lama Solana (yang memungkinkan transaksi pra-tanda tangan dan dieksekusi nanti tanpa kedaluwarsa), penyerang memaksa anggota Dewan Keamanan Drift untuk pra-tanda tangan apa yang tampak seperti transaksi rutin — tetapi sebenarnya adalah kunci otorisasi berbahaya yang disimpan sebagai cadangan.

Pada 27 Maret, Drift melakukan migrasi multisig terjadwal, beralih ke ambang tanda tangan 2 dari 5 dan — yang sangat penting — menghapus timelock sepenuhnya. Biasanya, timelock memaksa penundaan 24-72 jam pada tindakan administratif, memberi waktu bagi komunitas untuk merespons. Tanpa itu, penyerang memiliki otoritas eksekusi tanpa penundaan.

Pada 30 Maret, penyerang telah mengembalikan akses ke 2 dari 5 penandatangan dalam struktur multisig yang baru.

Fase 3: Eksekusi — 12 Menit hingga $286M (1 April)

Waktu (UTC) Aksi
16:05:39 Penyerang mengaktifkan transaksi pra-tanda tangan, mencantumkan CVT sebagai collateral yang valid, menaikkan batas penarikan hingga ~500 triliun (secara efektif tak terbatas)
16:05:41 Menyetorkan 500 juta token CVT — nilai oracle yang dimanipulasi ini mencapai $100M+
16:05:43-16:17 31 transaksi penarikan menguras aset nyata: JLP, USDC, SOL, cbBTC, wETH, dan lainnya

Seluruh weaponisasi ini memakan waktu kurang dari memesan kopi.

Serangan ini menggabungkan tiga tindakan penting dalam satu transaksi:

1. Menginisialisasi pasar spot CVT dengan oracle Switchboard yang dikendalikan penyerang
2. Mengatur bobot collateral CVT ke maksimum — token tak berharga diperlakukan sebagai collateral utama
3. Menonaktifkan pengaman penarikan — menghapus semua batasan keluar aset

#DriftProtocolHacked

Apa yang Dicuri

Penyerang menguras beberapa vault di seluruh protokol:

Aset Jumlah yang Dicuri (perkiraan)
Token JLP $155,6 juta
USDC $60,4 juta
cbBTC $11,3 juta
USDS $5,3 juta
FARTCOIN $4,1 juta
WBTC $4,4 juta
WETH $4,7 juta
JitoSOL $3,6 juta
SYRUPUSDC $3,3 juta
INF $2,5 juta
MSOL $2,0 juta

Sumber: Data on-chain melalui @officer_secret

Vault JLP benar-benar dikuras.
#DriftProtocolHacked

Siapa Di Balik Serangan Ini?

Perusahaan keamanan Elliptic dan TRM Labs mengaitkan serangan ini dengan aktor ancaman yang terkait DPRK (Korea Utara), khususnya Grup Lazarus.

Bukti atribusi meliputi:

· Asal Tornado Cash untuk tahap awal
· Waktu peluncuran CVT yang cocok dengan jam kerja Pyongyang (09:00)
· Taktik rekayasa sosial yang canggih — identik dengan peretasan jembatan Ronin 2022
· Kecepatan pencucian uang pasca-peretasan dan pola lintas-chain
· Penggunaan Nonce Tahan Lama — sesuai dengan keahlian DPRK

"Ini adalah operasi yang sangat canggih yang tampaknya melibatkan persiapan selama berminggu-minggu dan eksekusi yang terencana, termasuk penggunaan akun nonce tahan lama untuk pra-tanda tangan transaksi yang menunda eksekusi."
— Pernyataan Resmi Drift Protocol

Jika dikonfirmasi, ini menandai peretasan kripto terkait DPRK ke-18 tahun 2026, dengan lebih dari $300 juta yang dicuri** tahun ini saja. Aktor Korea Utara diperkirakan telah mencuri **lebih dari $6,5 miliar dalam crypto#DriftProtocolHacked