Pada 1 April 2026, Drift Protocol, bursa kontrak berjangka terdesentralisasi terbesar di ekosistem Solana, mengalami serangan besar. Dalam waktu hanya beberapa belas menit, aset kripto senilai $285 juta dirampok, mencatat insiden keamanan terbesar di bidang DeFi sepanjang tahun ini.
Seiring dengan pengungkapan data on-chain dan keterlibatan mendalam lembaga keamanan, gambaran penuh serangan APT yang diduga dipimpin oleh kelompok peretas Korea Utara perlahan terungkap. Yang menyedihkan, kehancuran benteng DeFi bernilai ratusan juta dolar ini bukan disebabkan oleh kerentanan nol-hari (0-day) yang canggih, melainkan serangan rekayasa sosial yang berlangsung selama berbulan-bulan dan secara langsung mengeksploitasi aspek manusia.
Bencana ini bukan hanya momen paling gelap bagi Drift, tetapi juga membongkar tirai dari praktik tata kelola dan manajemen kunci di industri DeFi saat ini yang sembarangan.
Pemburuan yang telah direncanakan sejak lama: Bagaimana Drift secara bertahap jatuh?
Dalam menganalisis jalur serangan peretas, kita menemukan bahwa ini adalah serangan multi-sisi yang sangat terencana dan penuh kesabaran. Penyerang memanfaatkan dengan sempurna kepercayaan buta komunitas Web3 terhadap "kode adalah hukum" serta kelalaian terhadap elemen paling lemah: manusia.
Langkah pertama: Bersembunyi di balik topeng "market maker"
Enam bulan sebelum kejadian, penyerang menyamar sebagai lembaga perdagangan kuantitatif dengan modal besar. Mereka tidak hanya bersosialisasi dengan tim inti Drift di berbagai puncak kripto, tetapi juga menyetorkan dana jutaan dolar secara nyata ke dalam protokol. Dengan berpartisipasi dalam pengujian produk dan memberikan saran strategis berkualitas tinggi, peretas berhasil masuk ke grup komunikasi internal Drift dan membangun kepercayaan yang mematikan.
Langkah kedua: Gunakan "angka acak persisten" untuk memasang bom waktu
Setelah memperoleh kepercayaan para kontributor inti, peretas mulai memanfaatkan mekanisme "Durable Nonces" yang khas jaringan Solana. Mekanisme ini memungkinkan transaksi ditandatangani secara offline terlebih dahulu dan disiarkan serta dieksekusi kapan saja di masa depan. Melalui strategi cerdik dan permintaan pengujian yang dipalsukan, peretas membujuk anggota komite keamanan Drift untuk melakukan "Blind Signing" terhadap beberapa transaksi yang tampak biasa. Namun, Payload sebenarnya dari transaksi-transaksi tersebut adalah pemindahan hak kontrol tertinggi admin protokol.
Langkah ketiga: Multi-sig mematikan 2/5 tanpa waktu tunggu
Pada 27 Maret, Drift melakukan pembaruan tata kelola yang mematikan: memindahkan Komite Keamanan ke arsitektur multi-sig 2/5 baru dan menghapus time lock. Ini berarti, cukup dengan dua tanda tangan, instruksi apa pun yang mengubah logika dasar protokol akan langsung dieksekusi, tanpa memberi waktu reaksi bahkan untuk mencabut kabel jaringan.
Langkah keempat: Mesin penarikan uang "palsu" yang seperti ilusi
Pada 1 April, peretas secara bersamaan memicu semua penyebaran. Mereka menyebarkan instruksi multi-sig yang telah dicuri sebelumnya, sehingga segera mengambil alih hak akses Admin protokol. Selanjutnya, peretas menambahkan token palsu bernama CVT (CarbonVote Token) ke daftar putih dan menaikkan batas pinjaman hingga maksimum. Dengan memanipulasi harga melalui oracle, peretas menggunakan sejumlah besar token tanpa nilai sebagai jaminan, dan secara sah "meminjam" USDC, SOL, dan ETH senilai $285 juta dari kas Drift.
Tanda tangan sah ≠ Niat sah: Achilles' heel keamanan DeFi
Dalam insiden Drift, hal yang paling membuat merasa tak berdaya adalah: di mata mesin virtual blockchain, setiap langkah peretas adalah "legal". Mereka tidak memanfaatkan kerentanan overflow atau serangan reentrancy, mereka hanya mendapatkan kunci administrator yang sah, lalu masuk ke brankas dengan tenang.
Ini menunjukkan ketidaksesuaian besar dalam manajemen dana protokol DeFi saat ini: menggunakan alat tingkat ritel yang dirancang untuk mengelola ratusan dolar AS untuk mengelola kas institusional bernilai ratusan juta dolar AS.
Saat ini, sebagian besar protokol DeFi utama masih sangat bergantung pada tanda tangan ganda berbasis smart contract tradisional (seperti Safe atau mekanisme multi-signature asli). Arsitektur ini memiliki dua kelemahan mendasar:
- Tidak dapat mencegah social engineering: Selama peretas berhasil menguasai (phishing, pemaksaan, atau suap) beberapa tokoh kunci yang menguasai kunci pribadi, pertahanan akan runtuh.
- Kurangnya verifikasi niat: Tanda tangan multi-sig hanya memverifikasi “apakah ini tanda tangan dari orang-orang ini”, tetapi tidak memeriksa “apakah yang mereka tanda tangani adalah kontrak perbudakan”.
Dari eksperimen geek ke infrastruktur keuangan: Evolusi tak terhindarkan dari keamanan Web3
Drift menghabiskan $285 juta untuk membeli pelajaran yang sangat mahal: seiring semakin cepatnya integrasi Web3 dengan keuangan tradisional, protokol DeFi harus meninggalkan model tata kelola yang mengandalkan hanya pada disiplin pengembang dan multi-sig sederhana, dan beralih ke standar keamanan tingkat institusi.
Saat ini, lembaga terkemuka industri dan pengamat keamanan telah mencapai kesepakatan bahwa iterasi keamanan berikutnya dari infrastruktur DeFi harus mencakup peningkatan pada beberapa dimensi inti berikut:
1. Peningkatan dasar kriptografi: Menuju HSM (Hardware Security Module)
Dibandingkan dengan agregasi perangkat lunak untuk tanda tangan ganda, HSM menyimpan kunci pribadi protokol di dalam chip yang bersertifikat dan dienkripsi tingkat militer, sehingga kunci pribadi tidak dapat diekspor. Isolasi fisik dan kontrol keamanan tingkat perangkat keras ini secara mendasar menghilangkan risiko yang disebabkan oleh serangan sosial insinyur internal atau kompromi perangkat, memberikan perlindungan keamanan kunci yang jauh lebih unggul dibandingkan tanda tangan ganda tradisional untuk gudang protokol.
2. Perkenalkan mesin strategi berbasis niat (Policy Engine)
Persetujuan otoritas manajemen DeFi di masa depan tidak boleh hanya berhenti pada tahap "verifikasi tanda tangan". Sistem perlu memiliki logika manajemen risiko bawaan, misalnya: ketika sebuah transaksi mencoba mengubah batas pinjaman untuk token tak dikenal (seperti CVT dalam kasus Drift) menjadi tak terbatas, mesin strategi harus mampu secara otomatis mengenali niat mencurigakan tersebut, memicu mekanisme pemutusan, serta memaksa verifikasi tingkat lebih tinggi (seperti verifikasi manusia multi-tier, verifikasi video, atau time lock wajib).
3. Merangkul kekuatan penitipan komplian independen
Seiring dengan terus meningkatnya TVL, pengembang protokol sebaiknya fokus pada logika kode dan inovasi bisnis, sementara mengalihkan kendali dan pertahanan keamanan terhadap dana miliaran dolar AS kepada lembaga penitipan pihak ketiga yang kompatibel secara regulasi. Seperti dalam keuangan tradisional, bursa tidak akan menyimpan aset pengguna di brankas pribadi pemiliknya. Memperkenalkan proses pengendalian risiko tingkat institusional yang memiliki kemampuan serangan-pertahanan kuat dan telah diaudit adalah jalan tak terhindarkan bagi DeFi menuju adopsi massal.
Seperti yang didukung oleh penyedia layanan yang telah lama fokus pada keamanan aset digital seperti Cactus Custody: desentralisasi DeFi tidak boleh menjadi alasan untuk menghindari manajemen risiko sistemik.
Peristiwa peretasan Drift mungkin menjadi titik balik. Itu menandai kegagalan tata kelola ala "kelompok amatir", sekaligus mengisyaratkan datangnya paradigma keamanan baru yang berfokus pada arsitektur perangkat keras, verifikasi niat, dan penitipan profesional. Hanya dengan memperkuat pertahanan ini, Web3 dapat benar-benar memikul masa depan bernilai triliunan.