Pada 1 April 2026, Drift Protocol, bursa kontrak berjangka terdesentralisasi terbesar di ekosistem Solana, mengalami pukulan dahsyat. Dalam waktu hanya belasan menit, aset kripto senilai $285 juta dijarah, mencatatkan insiden keamanan terbesar di bidang DeFi tahun ini.
Seiring dengan penelusuran data on-chain dan intervensi mendalam dari lembaga keamanan, gambaran lengkap serangan APT yang diduga dipimpin oleh kelompok peretas Korea Utara ini mulai terungkap. Yang menyedihkan adalah, penghancuran benteng DeFi senilai ratusan juta dolar ini bukan disebabkan oleh kerentanan zero-day (0-day) yang canggih, melainkan oleh perburuan social engineering yang berlangsung selama berbulan-bulan dan menyasar sisi manusiawi.
Bencana ini bukan hanya momen tergelap bagi Drift, tetapi juga membongkar praktik governance dan manajemen kunci 'amateur' yang masih terjadi di industri DeFi saat ini.
Perburuan yang Dirancang Matang: Bagaimana Drift Jatuh Secara Bertahap?
Melihat kembali jalur serangan peretas, ini adalah operasi yang sangat rapi dan penuh kesabaran dengan koordinasi multi-lini. Penyerang memanfaatkan dengan sempurna kepercayaan buta komunitas Web3 terhadap 'code is law', serta kelalaian terhadap 'manusia' sebagai mata rantai terlemah.
Langkah 1: Penyamaran sebagai 'Market Maker'
Enam bulan sebelum kejadian, penyerang sudah menyamar sebagai sebuah institusi trading kuantitatif dengan modal besar. Mereka tidak hanya bersosialisasi dengan tim inti Drift di berbagai konferensi kripto, tetapi juga menyetor dana nyata hingga jutaan dolar ke dalam protokol. Dengan berpartisipasi dalam pengujian produk dan memberikan saran strategis berkualitas tinggi, peretas berhasil menyusup ke dalam grup komunikasi internal Drift dan membangun kepercayaan yang mematikan.
Langkah 2: Memanfaatkan 'Durable Nonces' untuk Menanam Bom Waktu
Setelah mendapatkan kepercayaan dari kontributor inti, peretas mulai memanfaatkan mekanisme 'Durable Nonces' yang khas di jaringan Solana. Mekanisme ini memungkinkan transaksi ditandatangani secara offline terlebih dahulu dan disiarkan untuk dieksekusi pada waktu yang ditentukan di masa depan. Melalui retorika yang cerdik dan kebutuhan pengujian palsu, peretas menginduksi anggota komite keamanan Drift untuk melakukan 'Blind Signing' pada beberapa transaksi yang terlihat biasa. Padahal, payload sebenarnya dari transaksi tersebut adalah untuk memindahkan kontrol tertinggi administrator (Admin) protokol.
Langkah 3: Multi-Signature 2/5 yang Mematikan dan Tanpa Time-Lock
Pada 27 Maret, Drift melakukan pembaruan governance yang fatal: memigrasikan komite keamanan ke arsitektur multi-signature 2/5 baru, dan menghapus time-lock. Ini berarti, hanya dengan mengumpulkan dua tanda tangan, instruksi apa pun yang memodifikasi logika dasar protokol akan dieksekusi secara instan, tanpa memberikan waktu reaksi sekalipun untuk memutuskan koneksi.
Langkah 4: Mesin Penarik Dana 'Palsu' bak Mirage
Pada 1 April, peretas meledakkan semua yang telah mereka siapkan secara bersamaan. Mereka menyiarkan instruksi multi-signature yang diperoleh secara curang, dan dalam sekejap mengambil alih hak akses Admin protokol. Selanjutnya, peretas menambahkan token palsu bernama CVT (CarbonVote Token) ke dalam whitelist, dan menaikkan batas peminjamannya hingga maksimal. Dengan memanipulasi harga oracle, peretas menggunakan segunung token udara sebagai jaminan untuk 'meminjam' secara sah dan legal USDC, SOL, dan ETH senilai $285 juta dari kas Drift.
Tanda Tangan Sah ≠ Maksud yang Sah: Kelemahan Achilles Keamanan DeFi
Dalam peristiwa Drift, hal yang paling membuat frustrasi adalah: di mata mesin virtual blockchain, setiap langkah peretas adalah 'sah'. Mereka tidak memanfaatkan kerentanan overflow, juga tidak melakukan serangan reentrancy, mereka hanya mendapatkan kunci admin yang sah, lalu dengan lelunya masuk ke dalam kas.
Ini mengungkapkan ketidaksesuaian besar dalam manajemen dana protokol DeFi saat ini: menggunakan alat-alat tingkat retail untuk mengelola ratusan dolar, untuk mengelola kas institusional senilai miliaran dolar.
Saat ini, sebagian besar protokol DeFi utama masih sangat bergantung pada multi-signature berbasis smart contract tradisional (seperti Safe atau mekanisme multi-signature native). Arsitektur ini memiliki dua kelemahan fatal:
- Tidak tahan terhadap social engineering: Cukup dengan menargetkan (phishing, paksaan, atau menyuap) beberapa orang kunci yang memegang private key, pertahanan akan runtuh.
- Kurangnya validasi intent: Multi-signature hanya memverifikasi 'apakah ini tanda tangan dari orang-orang ini', tanpa peduli 'apakah yang mereka tanda tangani adalah kontrak menjual diri'.
Dari Eksperimen Geek ke Infrastruktur Keuangan: Evolusi Wajib Keamanan Web3
Pelajaran senilai $285 juta dari Drift sangatlah mahal: Seiring dengan percepatan integrasi Web3 dan keuangan tradisional, protokol DeFi harus meninggalkan model governance yang hanya mengandalkan disiplin developer dan multi-signature sederhana, dan beralih ke standar keamanan tingkat institusional.
Saat ini, institusi terkemuka dan pengamat keamanan industri telah mencapai konsensus bahwa iterasi keamanan berikutnya dari infrastruktur DeFi harus mencakup peningkatan pada beberapa dimensi inti berikut:
Peningkatan Landasan Kriptografi: Menuju HSM (Hardware Security Module)
Dibandingkan dengan agregasi perangkat lunak multi-signature, HSM menyimpan private key protokol dalam chip terenkripsi bersertifikat dan berstandar militer, di mana private key tidak dapat diekspor. Isolasi fisik tingkat hardware dan kontrol keamanan ini, pada dasarnya mencegah risiko yang diakibatkan oleh serangan social engineering terhadap personel internal atau perangkat yang disusupi, memberikan jaminan keamanan kunci untuk kas protokol yang jauh melampaui multi-signature tradisional.
Memperkenalkan Mesin Kebijakan 'Berbasis Intent' (Policy Engine)
Persetujuan izin manajemen DeFi di masa depan tidak boleh hanya berhenti pada tahap 'verifikasi tanda tangan'. Sistem perlu memiliki logika manajemen risiko internal, misalnya: ketika suatu transaksi berusaha mengubah batas peminjaman suatu token tidak dikenal (seperti CVT dalam kasus Drift) menjadi tidak terbatas, mesin kebijakan harus dapat secara otomatis mengenali intent yang tidak normal, memicu mekanisme circuit breaker, dan mewajibkan verifikasi tingkat yang lebih tinggi (seperti kontrol risiko manusia multi-level, verifikasi video, atau time-lock paksa).
Merangkul Kekuatan Kustodian Kepatuhan yang Independen
Seiring dengan terus membesarnya TVL, pengembang protokol harus fokus pada logika kode dan inovasi bisnis, sementara menyerahkan kontrol kas senilai miliaran dolar dan pertahanan keamanan kepada lembaga kustodian kepatuhan pihak ketiga yang profesional. Sama seperti dalam keuangan tradisional, bursa tidak akan menyimpan aset pengguna di brankas pribadi bos. Memperkenalkan proses manajemen risiko tingkat institusional yang memiliki kemampuan pertahanan dan penyerangan yang kuat serta telah diaudit, adalah jalan yang harus dilalui DeFi untuk menjadi mainstream.
Seperti yang telah lama dikampanyekan oleh penyedia layanan institusional seperti Cactus Custody yang berkecimpung dalam keamanan aset digital: Desentralisasi DeFi tidak boleh dijadikan alasan untuk menghindari kontrol risiko sistemik.
Peristiwa peretasan Drift mungkin menjadi titik balik. Ini menandakan kebangkrutan governance model 'amateur', dan juga mengisyaratkan datangnya paradigma keamanan baru yang berpusat pada arsitektur hardware, validasi intent, dan kustodian profesional. Hanya dengan memperkuat garis pertahanan ini, Web3才能真正承载起万亿级别的未来 (Web3才能真正承载起万亿级别的未来 - frase Tionghoa asli dipertahankan seperti diminta).
