#DriftProtocolHacked

$286 juta hilang dalam 12 menit. Bukan karena kontrak pintar bermasalah. Bukan karena seseorang lupa memperbaiki ketergantungan. Karena manusia mempercayai manusia lain, dan salah satu dari manusia itu bermain permainan yang sama sekali berbeda.

Pada 1 April 2026, Drift Protocol, sebuah bursa futures perpetual berbasis Solana yang pada puncaknya memegang lebih dari $1,5 miliar dalam total nilai terkunci, telah dikosongkan. Serangan tidak dimulai hari itu. Dimulai tiga minggu sebelumnya, pada 23 Maret, ketika penyerang diam-diam membuat serangkaian akun nonce tahan lama di Solana. Detail ini sangat penting, karena nonce tahan lama adalah fitur sah dan dimaksudkan dari Solana yang memungkinkan transaksi untuk ditandatangani terlebih dahulu dan dieksekusi nanti, tanpa batas waktu. Penyerang menggunakan fitur ini sebagai senjata.

Mekanisme apa yang terjadi selanjutnya bersifat metodis dan dingin. Dewan Keamanan Drift beroperasi sebagai multisig, yang berarti beberapa penandatangan harus menyetujui perubahan administratif sebelum mereka berlaku. Ini adalah praktik standar dalam DeFi dan dirancang sebagai pengaman. Penyerang secara sosial-engineered setidaknya dua dari lima anggota dewan agar mereka menandatangani transaksi yang tampak rutin. Penandatangan kemungkinan percaya mereka sedang mengotorisasi sesuatu yang biasa, mungkin bagian dari migrasi multisig yang direncanakan yang terjadi pada 27 Maret. Mereka tidak. Mereka sedang menandatangani surat kematian protokol, yang akan dieksekusi secara otomatis.

Pada 1 April, urutan tersebut dipicu. Penarikan percobaan kecil dilakukan terlebih dahulu, mengonfirmasi bahwa transaksi administratif yang telah ditandatangani sebelumnya akan dieksekusi. Empat slot Solana kemudian, sekitar 1,6 detik dalam waktu nyata, kontrol admin direbut. Apa yang terjadi selanjutnya bersifat sistematis: token CVT, yang dibuat dan didaftarkan oleh penyerang sebagai jaminan yang valid dalam mesin risiko protokol, disetor. Mesin tersebut, mengikuti aturan sendiri, mengeluarkan aset nyata terhadap jaminan palsu ini. Lebih dari 20 vault dikuras dalam waktu sekitar 12 menit. USDC, Bitcoin yang dibungkus, token JLP, dan SOL mengalir keluar.

Dana yang dicuri berpindah ke Ethereum. Pada 3 April, Drift memposting pesan on-chain ke empat alamat dompet Ethereum yang memegang hasilnya, mengundang negosiasi. Perusahaan analitik blockchain Elliptic mencatat adanya dugaan kaitan DPRK, sebuah pola yang konsisten dengan operasi Lazarus Group yang telah meraup perkiraan $2 miliar atau lebih dalam pencurian kripto selama beberapa tahun terakhir, dana yang diyakini lembaga intelijen membiayai program senjata dan penghindaran sanksi.

Pada saat serangan, TVL Drift runtuh dari $1,5 miliar menjadi $247 juta. Token tata kelola DRIFT jatuh ke level terendah sepanjang masa sebesar $0,040, turun lebih dari 41% dalam 24 jam. Pengguna protokol terkait, termasuk Pyra dan Carrot, mendapati diri mereka terkunci dari dana tanpa garis waktu untuk penyelesaian.

Beberapa hal perlu diungkapkan secara jernih tentang apa yang diungkapkan oleh peristiwa ini.

Pertama, tautan terlemah dalam keamanan DeFi tetap manusia. Audit kontrak pintar, verifikasi formal, program bounty bug, semua itu menjadi sekunder ketika orang yang memegang kunci tanda tangan bisa dibohongi untuk menggunakannya. Rekayasa sosial bukanlah hal yang eksotis; itu adalah vektor serangan tertua yang ada. Industri terus kurang berinvestasi dalam pelatihan keamanan operasional untuk manusia nyata yang memegang akses administratif.

Kedua, struktur tata kelola multisig tidak seaman yang diasumsikan komunitas ketika proses penandatanganan dilakukan secara jarak jauh dan asinkron. Penandatangan yang meninjau transaksi di layar mereka sendiri, tanpa koordinasi waktu nyata dengan penandatangan lain, tanpa verifikasi independen tentang apa yang sebenarnya dilakukan setiap transaksi di chain, adalah kerentanan, bukan pengaman. Mekanisme nonce tahan lama memperkuat hal ini karena memisahkan saat penandatanganan dari saat eksekusi. Penandatangan tidak memiliki alasan untuk percaya bahwa transaksi yang mereka setujui akan dieksekusi berminggu-minggu kemudian dalam konteks berbeda.

Ketiga, penggunaan jaminan palsu untuk menguras protokol pinjaman bukanlah teknik baru. Yang membuat versi ini canggih adalah akses yang diperlukan untuk mendaftarkan jaminan tersebut sejak awal. Ini bukan manipulasi oracle harga. Ini bukan serangan pinjaman kilat. Ini membutuhkan kredensial administratif yang dengan sabar dibangun penyerang selama berminggu-minggu. Kesabaran itu sendiri adalah sinyal yang mengarah ke aktor tingkat negara, yang beroperasi berdasarkan garis waktu dan sumber daya yang jarang dipertahankan oleh kelompok kriminal yang hanya berorientasi keuntungan.

Keempat, kecepatan pengurasan, $286 juta dalam 20+ vault dalam 12 menit, menyoroti betapa tidak dapat dibaliknya model eksekusi Solana begitu sebuah urutan dimulai. Tidak ada pemutus sirkuit yang cukup cepat untuk memicu. Tidak ada waktu bagi manusia untuk campur tangan. Kecepatan protokol sendiri, salah satu keunggulan yang dipasarkan, menjadi keunggulan operasional penyerang.

Apa yang terjadi dari sini cenderung mengikuti skenario trauma DeFi yang dapat diprediksi. Sebuah post-mortem dipublikasikan. Kompensasi dibahas dan diperdebatkan. Beberapa pengguna memulihkan dana sebagian. Token DRIFT stabil di baseline yang baru dan lebih rendah. Protokol yang bersaing menyerap likuiditas yang tergeser. Industri mencatat, memperbarui prosedur multisig-nya selama beberapa bulan, dan kemudian urgensi itu memudar.

Pertanyaan yang lebih sulit adalah apakah tata kelola terdesentralisasi sebesar ini secara struktural kompatibel dengan praktik keamanan yang diperlukan untuk melindungi deposan ritel. Ketika $285 juta dana pengguna bisa dikosongkan karena dua dari lima manusia membuat kesalahan di bawah tekanan sosial, desentralisasi selalu parsial. Risikonya tidak pernah tersebar merata. Itu terkonsentrasi di Dewan Keamanan yang kemungkinan besar sebagian besar deposan tidak tahu keberadaannya, yang anggotanya mereka tidak bisa vet, dan prosedur penandatanganannya tidak mereka miliki visibilitasnya.

Itu bukan kritik khusus terhadap Drift. Itu adalah kondisi hampir setiap protokol DeFi penting yang beroperasi saat ini.