Kabar mendadak! DEX terkemuka di Solana mengalami perampokan epik, hilang 2,85 miliar dolar AS dalam 10 detik, mitos keamanan DeFi benar-benar runtuh?

2 April dini hari, bursa kontrak perpetual terdesentralisasi terkemuka di ekosistem Solana, Drift Protocol, mengalami serangan.

Pihak resmi protokol mula-mula mengumumkan bahwa mereka menemukan aktivitas yang tidak biasa, lalu langsung mengonfirmasi bahwa protokol tersebut menjadi sasaran serangan aktif, dan menangguhkan semua fungsi setoran serta penarikan.

Data di rantai menunjukkan bahwa kas protokol mengalir keluar lebih dari 285 juta dolar AS aset dalam waktu yang sangat singkat. Angka ini menjadikannya insiden keamanan DeFi terbesar pada awal tahun 2026. Akibatnya, harga token asli mereka, $DRIFT, anjlok lebih dari 30%, sempat menyentuh 0.04 dolar AS. Nilai total aset yang dikunci pada protokol juga turun tajam dari sekitar 550 juta dolar AS menjadi 250 juta dolar AS.

Serangan dimulai dari alamat dompet baru HkGz4K. Alamat ini lebih dulu memindahkan token JLP senilai sekitar 155 juta dolar AS dari treasury utama Drift, lalu disusul $USDC, $SOL, $cbBTC, $wBTC, $WETH, serta sebagian meme coin. Aksi penyerang sangat cepat; melalui agregator, sebagian besar aset ditukar menjadi $USDC, lalu menyeberang lintas rantai ke jaringan Ethereum untuk terus membeli $ETH.

Drift Protocol didirikan pada akhir 2021, dan merupakan salah satu DEX kontrak perpetual paling awal di Solana, terkenal dengan latensi rendah dan leverage yang tinggi. Protokol ini menggunakan desain di mana dana pengguna langsung masuk ke treasury bertingkat, dengan tujuan meningkatkan transparansi, tetapi dalam kejadian kali ini justru memperlihatkan kelemahan.

Wakil pendiri lembaga analisis risiko blockchain Chaos Labs, Omer, mengungkap detail serangan. Intinya adalah kunci administrator protokol dicuri. Penyerang memanfaatkan kunci penandatangan yang dicuri tersebut, dan dalam waktu kurang dari 10 detik berhasil menarik lebih dari 213 juta dolar AS dana. Protokol tidak memiliki langkah pengaman seperti time lock, perlindungan penundaan multi-tanda tangan, dan sejenisnya, sehingga serangan pada dasarnya selesai dalam 15 detik.

Jalur serangan spesifik dibagi menjadi tiga langkah. Pertama, penyerang membuat pasar spot palsu bernama CVT dalam satu transaksi, serta menetapkan parameter ekstrem agar ia dapat menyetor token yang tidak bernilai dan memperoleh kemampuan pinjaman tanpa batas. Pada saat yang sama, ia meningkatkan ambang batas circuit breaker lima pasar aset nyata sebanyak 20 kali, sehingga hambatan untuk penarikan dalam jumlah besar dapat disingkirkan.

Kedua, penyerang menyiapkan oracle yang dikendalikan olehnya sendiri untuk pasar CVT, kemudian memanipulasi harganya hingga level senilai beberapa ratus juta dolar AS setara $SOL, guna menyediakan valuasi palsu bagi pinjaman berbasis jaminan berikutnya.

Terakhir, penyerang mencetak sekitar 750 juta token CVT, di mana 80% dikendalikan olehnya, lalu menyetorkannya ke dalam protokol dalam dua kali transaksi. Dengan demikian, ia menjadikan token tersebut sebagai jaminan dan meminjam seluruh aset nyata yang ada di dalam treasury. Setelah serangan selesai, treasury JLP dikuras dari 41.700 juta menjadi hanya tersisa 133 token.

Investigasi yang lebih mendalam mengarah pada migrasi multi-tanda tangan yang gagal seminggu sebelumnya. Drift bermigrasi ke dompet multi-tanda tangan baru, tetapi multi-tanda tangan tersebut hanya menyisakan satu penandatangan lama, sementara empat lainnya adalah alamat baru sepenuhnya, dengan ambang 2/5 dan time lock nol detik. Penyerang mengajukan proposal dengan mengendalikan multi-tanda tangan lama untuk memindahkan hak administrator ke dompet baru. Setelah itu, penandatangan lama yang satu-satunya mengusulkan perubahan hak administrator Drift; seorang penandatangan baru segera menyetujui, dan transaksi langsung berlaku seketika.

Setelah kejadian tersebut, tim Drift merespons cepat namun dengan informasi yang terbatas. Dompet Phantom memutus akses masuk interaksi langsung dengan protokol. Pihak resmi $Jupiter mengklarifikasi bahwa produk pinjamannya tidak melibatkan pasar Drift, dan JLP didukung oleh aset dasar.

Sampai saat ini, penyerang telah menukarkan aset senilai 285 juta dolar AS yang dicuri menjadi sekitar 129.000 token $ETH, bernilai 278 juta dolar AS. Dalam serangan dengan skala serupa di sejarah, probabilitas dana berhasil dipulihkan biasanya sangat rendah. Protokol masih berada dalam status penghentian penuh, dan rencana pemulihan serta kompensasi berikutnya belum jelas.

Ikuti saya: dapatkan analisis dan wawasan pasar kripto real-time lebih banyak! $BTC $ETH $SOL

#Prakiraan tren April #Pasar kripto secara umum naik #Emas-perak menguat seiring