Drift Protocol diserang senilai 2,85 miliar dolar AS: Analisis insiden kerentanan DeFi Solana

Pada 1 April 2026, pukul 16:00 UTC, total aset kas Drift Protocol bernilai 309 juta dolar AS. Satu jam kemudian, tersisa hanya 41 juta dolar AS. Ini bukan lelucon April Mop—tim Drift terpaksa mengklarifikasi secara khusus di platform X bahwa “ini bukan lelucon April Mop”. Penyerang telah mengambil sekitar 285 juta dolar AS aset kripto dari protokol, menjadikannya peristiwa kebocoran DeFi terbesar di tahun 2026 hingga saat ini, sekaligus insiden keamanan terparah di ekosistem Solana sejak pencurian jembatan Wormhole sebesar 325 juta dolar AS pada 2022.

Ini bukan serangan flash loan, juga bukan eksploitasi bug pada kode smart contract. Penyerang mengguncang aset senilai 285 juta dolar AS dengan biaya $500 melalui jalur serangan yang sebelumnya hampir tidak pernah dibahas dalam literatur publik—pemanfaatan gabungan durable nonce yang telah dipra-tandatangani dengan celah tata kelola multisig. Artikel ini akan melakukan peninjauan sistematis atas kejadian tersebut, mulai dari rekonstruksi peristiwa, analisis teknis, pembongkaran data, penyusunan kontroversi, hingga dampak industri.

Dari 309 juta dolar AS menjadi 41 juta dolar AS dalam satu jam

Pada 1 April 2026, lembaga pemantauan blockchain Lookonchain dan PeckShield hampir bersamaan menangkap sinyal anomali: sebuah alamat dompet “HkGz4K” yang baru dibuat 8 hari mulai memindahkan aset dalam skala besar dari beberapa kas inti Drift. Transaksi pertama melibatkan 41,70 juta token JLP, senilai sekitar 155,6 juta dolar AS. Penyerang dalam waktu sekitar 12 menit menyelesaikan pengosongan aset melalui 31 transaksi, meliputi USDC, SOL, cbBTC, wBTC, WETH, token dari liquidity pool, bahkan termasuk koin meme Fartcoin.

Hingga satu jam setelah serangan, aset kas Drift turun drastis dari sekitar 309 juta dolar AS menjadi sekitar 41 juta dolar AS. PeckShield dan Arkham Intelligence masing-masing secara independen mengonfirmasi kerugian berada pada kisaran 285 juta dolar AS. Pendiri SlowMist, Yu Xuan, menyatakan bahwa kerugian melebihi 200 juta dolar AS. Di antara aset yang dicuri, kerugian token JLP sekitar 155,6 juta dolar AS, USDC sekitar 60 juta dolar AS, sisanya berupa SOL, cbBTC, wBTC, dan berbagai token likuiditas.

Rencana brilian yang membentang tiga minggu

Serangan ini bukan sesuatu yang muncul tiba-tiba, melainkan rangkaian aksi bertahap yang direncanakan secara presisi. Penyerang mulai melakukan persiapan sejak pertengahan Maret; garis waktu lengkap adalah sebagai berikut:

Pernyataan resmi Drift menyebut serangan tersebut “sangat kompleks, membutuhkan persiapan selama beberapa minggu, dan melibatkan eksekusi bertahap”. Penyerang terus melakukan deployment transaksi pra-tandatangan antara 23 Maret hingga 1 April, dan seluruh proses menunjukkan kemampuan perencanaan yang sangat terorganisir.

Rangkaian serangan dari $500 menjadi 285 juta dolar AS

Langkah pertama: Pra-tandatangan durable Nonce—“bom waktu” yang menghindari time lock

Mekanisme durable nonce pada blockchain Solana memungkinkan pengguna menandatangani transaksi terlebih dahulu dan menyimpannya di rantai, lalu mengeksekusinya pada titik waktu di masa depan. Fitur ini pada awalnya dirancang untuk meningkatkan pengalaman pengguna—misalnya pengguna dapat menandatangani transaksi secara offline, lalu mengirimkannya untuk dieksekusi setelah tersambung ke internet. Namun pada peristiwa Drift, mekanisme ini diubah menjadi senjata oleh penyerang.

Penyerang menggunakan akun durable nonce untuk mendapatkan otorisasi pra-tandatangan dari dua penanda tangan multisig. Transaksi pra-tandatangan ini selesai ditandatangani secara bertahap antara 23 Maret hingga 27 Maret, tetapi baru dieksekusi secara massal pada 1 April.

Sekitar 23 Maret, Drift menyesuaikan mekanisme multisig menjadi mode “2/5” (yaitu, dari 5 penanda tangan, setiap 2 orang yang menyetujui sudah cukup untuk mengeksekusi operasi berhak tinggi), memperkenalkan 4 penanda tangan multisig baru, dan tidak menetapkan time lock.

Time lock adalah komponen keamanan penting untuk multisig. Tanpa time lock, begitu penyerang memperoleh otorisasi tanda tangan yang cukup, ia dapat langsung mengeksekusi operasi tingkat administrator tanpa periode penyangga apa pun. Pendiri SlowMist, Yu Xuan, menyatakan bahwa inilah prasyarat agar serangan ini dapat berhasil.

Peristiwa serangan Resolv (terjadi sekitar 10 hari sebelum peristiwa Drift) juga berakar pada ketiadaan mekanisme multisig—Resolv bahkan sama sekali tidak menetapkan multisig. Dua kejadian yang terpaut hanya 10 hari ini mengungkap kerapuhan sistemik pada arsitektur tata kelola otorisasi protokol DeFi.

Langkah kedua: Duit palsu CVT—titik tumpu $500 yang menggoyang 285 juta dolar AS

Penyerang membuat sebuah token bernama CarbonVote Token (CVT), dengan total suplai sekitar 750 juta token, dan penyerang mengendalikan lebih dari 80% token yang dimiliki oleh dompet. Penyerang membuat liquidity pool minimal bernilai hanya $500 di Raydium, lalu melakukan transaksi penyikatan volume secara berkelanjutan untuk menciptakan ilusi bahwa token tersebut memiliki aktivitas perdagangan.

Fungsi initializeSpotMarket dalam protokol Drift memungkinkan administrator untuk langsung menetapkan alamat oracle dan sumber parameternya. Setelah memperoleh hak administrator, penyerang menjadikan CVT sebagai token untuk diluncurkan pada pasar spot dan memanipulasi data harga oracle, sehingga sistem menganggap CVT sebagai aset bernilai.

Manipulasi oracle merupakan salah satu vektor serangan paling destruktif di bidang DeFi. Ketika penyerang sekaligus menguasai hak administrator dan otoritas penetapan harga oracle, setiap aset di dalam sistem dapat “dinilai ulang”—penyerang dapat menggunakan CVT yang sama sekali tidak bernilai sebagai jaminan untuk mengekstrak USDC, SOL, dan JLP yang nyata.

Langkah ketiga: Mematikan pagar pengaman—mengubah mekanisme keamanan menjadi alat serangan

Protokol Drift merancang mekanisme pengendalian risiko termasuk validasi efektivitas oracle, pemangkasan TWAP, validasi lebar pita penyimpangan harga, dan pemutusan paksa lintas beberapa interval. Namun setelah penyerang memperoleh hak administrator, ia langsung mematikan mekanisme keamanan tersebut.

Dalam proses serangan, penyerang melakukan langkah-langkah berikut: mencetak duit palsu CVT → memanipulasi oracle → menonaktifkan mekanisme keamanan → menghapus batas penarikan → mengekstrak aset bernilai tinggi.

Penyerang memilih mengeksekusi serangan pada pukul 16:05 UTC tanggal 1 April, yang mungkin didasarkan pada dua pertimbangan: pertama, deployment transaksi pra-tandatangan sudah sepenuhnya selesai; kedua, akhir pekan yang mendekat dapat menunda respons keamanan.

Langkah keempat: Pelarian lintas rantai—pemindahan aset dari Solana ke Ethereum

Setelah serangan selesai, penyerang dengan cepat menukar aset curian melalui Jupiter Aggregator menjadi USDC, lalu menyeberangkan dari Solana ke jaringan Ethereum melalui protokol cross-chain Circle (CCTP).

Beberapa jam setelah serangan, penyerang sudah membeli 13.000 ETH di Ethereum. Data pelacakan SlowMist menunjukkan bahwa dana yang dicuri akhirnya dikumpulkan ke alamat Ethereum, total sekitar 105.969 ETH, senilai sekitar 226 juta dolar AS. Setelah itu, penyerang memperbesar skala asetnya menjadi sekitar 130.262 ETH, dengan nilai total sekitar 267 juta dolar AS.

Penyerang selama proses bridging secara sengaja menghindari penggunaan USDT, menggunakan USDC untuk transfer lintas rantai sepenuhnya. Peneliti keamanan on-chain Specter menyatakan bahwa pilihan ini mencerminkan keyakinan penyerang bahwa Circle tidak akan membekukan dana—dan penilaian ini akhirnya terbukti benar.

Rangkai Ulasan Opini Publik

Berkaitan dengan peristiwa ini, pasar membentuk beberapa titik kontroversi utama dan narasi yang berbeda.

Kontroversi satu: “Ketidakberdayaan” Circle—dari kritik ZachXBT hingga refleksi tata kelola industri

Detektif on-chain ZachXBT pada 2 April secara terbuka mengkritik Circle, dengan mengatakan bahwa pada sesi perdagangan di AS setelah terjadinya serangan Drift, puluhan juta dolar USDC dipindahkan dari Solana ke Ethereum melalui CCTP “berlangsung selama berjam-jam tanpa ada intervensi”. ZachXBT menyebut Circle memiliki jendela respons sekitar 6 jam, tetapi tidak mengambil tindakan pembekuan apa pun.

Beberapa hari sebelumnya (23 Maret), Circle membekukan setidaknya 16 dompet hot wallet perusahaan dalam sebuah perkara perdata tertutup rapat, yang melibatkan operasi bisnis normal seperti bursa, penyedia pemrosesan pembayaran, dan sejenisnya. ZachXBT menyebut ini merupakan salah satu operasi pembekuan paling tidak profesional yang pernah ia lihat dalam lima tahun. Circle kemudian pada 26 Maret membekukan kembali salah satu dompet yang terkait Goated.com, tetapi sebagian besar dompet lainnya hingga kini masih dalam proses pembekuan yang berlangsung lambat.

Peristiwa ini memicu diskusi luas tentang kewajiban intervensi proaktif apa yang harus dimiliki penerbit stablecoin dalam peristiwa keamanan DeFi. Para kritikus berpendapat bahwa Circle secara aktif membekukan dana dalam perkara perdata, tetapi bersikap diam pada pencurian yang dikonfirmasi bernilai angka sembilan digit, yang menunjukkan ketidakselarasan standar intervensi. Sementara itu, pendukung berpendapat bahwa penerbit stablecoin tidak seharusnya memikul kewajiban pelacakan dana di rantai—hak intervensi harus melayani proses hukum, bukan pemantauan on-chain.

Jika Circle membekukan USDC yang relevan dalam periode window serangan, penyerang mungkin tidak dapat menjembatani dana secara efektif ke Ethereum, dan peluang pengembalian aset mungkin meningkat secara signifikan. Tetapi asumsi ini bergantung pada premis bahwa Circle dapat mengonfirmasi sifat dana dalam beberapa jam setelah serangan terjadi dan mengeksekusi pembekuan—yang dalam praktiknya menghadapi tantangan besar dari sisi hukum dan prosedur.

Kontroversi dua: Keterkaitan organisasi Lazarus Korea Utara

Perusahaan analisis blockchain Elliptic merilis laporan analisis pada 2 April, yang menyatakan bahwa “berbagai indikator” menunjukkan serangan ini mungkin terkait dengan organisasi peretas dengan latar belakang negara Korea Utara. Elliptic menyebut bahwa perilaku on-chain, metodologi pencucian uang, dan indikator level jaringan dari serangan tersebut sangat konsisten dengan operasi yang sebelumnya dikaitkan ke Korea Utara. Jika penilaian ini terbukti, ini akan menjadi insiden serangan terkait Korea Utara ke-18 yang dilacak oleh Elliptic pada tahun 2026.

Ledger CTO Charles Guillemet membandingkan serangan ini secara langsung dengan insiden pencurian 1,5 miliar dolar AS oleh Bybit pada 2025, dan menyoroti bahwa keduanya memiliki pola yang hampir sama: penandatangan multisig disusupi, penggunaan rekayasa sosial, dan penyamaran transaksi berbahaya sebagai operasi normal.

Peresapan kelompok peretas Korea Utara ke industri kripto telah berubah dari “serangan sesekali” menjadi “tindakan negara yang berkelanjutan dan terstruktur secara sistematis”. Total nilai mata uang kripto yang dicuri oleh peretas Korea Utara pada 2025 melebihi 2 miliar dolar AS. Jika serangan Drift ini memang dilakukan oleh Lazarus, maka hal itu menunjukkan bahwa organisasi tersebut telah menguasai metode serangan tingkat lanjut yang menargetkan struktur tata kelola multisig pada ekosistem Solana.

Kontroversi tiga: Kekurangan struktural dalam tata kelola multisig

Pendiri SlowMist, Yu Xuan, menyatakan bahwa ambang multisig 2/5 berarti hanya perlu membobol 2 orang untuk mengendalikan seluruh protokol. “Berapa biaya untuk membobol 2 orang itu? Bukan 285 juta dolar AS—mungkin hanya beberapa bulan rekayasa sosial ditambah beberapa phishing yang ditargetkan.”

Praktik terbaik industri biasanya merekomendasikan konfigurasi multisig 4/7, disertai time lock 24-48 jam. Time lock dipasang sebagai masa tunggu paksa sebelum eksekusi perubahan konfigurasi berisiko tinggi, memberi waktu yang cukup bagi komunitas dan lembaga keamanan untuk menemukan keanehan dan melakukan intervensi. Setelah migrasi multisig, Drift menetapkan time lock = 0.

Peristiwa ini tidak mengungkap masalah keamanan pada smart contract, melainkan ketiadaan “keamanan tata kelola”. Bahkan jika kode telah diaudit oleh lembaga audit papan atas, selama arsitektur tata kelola hak otorisasi memiliki cacat desain, celah risiko protokol secara keseluruhan akan diperbesar tanpa batas.

Analisis Dampak Industri

Guncangan kepercayaan ekosistem Solana

Drift adalah DEX desentralisasi bertenaga kontrak perpetual terbesar di ekosistem Solana; sebelum serangan, volume perdagangan kumulatifnya melebihi 55 miliar dolar AS, TVL lebih dari 1 miliar dolar AS, dan jumlah trader aktif lebih dari 200.000. Peristiwa ini merupakan insiden keamanan paling serius di ekosistem Solana sejak pencurian Wormhole sebesar 325 juta dolar AS pada 2022.

Harga SOL turun sekitar 9% setelah berita serangan menyebar, sempat mendekati 78,60 dolar AS, dan volume perdagangan 24 jam meningkat menjadi sekitar 5,2 miliar dolar AS. TVL seluruh jaringan Solana turun menjadi sekitar 6,544 miliar dolar AS, sementara dana terus mengalir keluar dari protokol inti seperti Jito, Raydium, dan Sanctum.

Penurunan TVL dan melemahnya aktivitas DEX mencerminkan penurunan kepercayaan ekosistem, bukan hanya koreksi harga. Penarikan penyedia likuiditas akan membuat kedalaman market making menjadi lebih dangkal, sehingga volatilitas semakin diperbesar. Ketua Solana Foundation, Lily Liu, mengatakan peristiwa ini “dampaknya besar”, namun menegaskan bahwa tujuan celah sesungguhnya telah beralih menjadi “manusia: kelemahan rekayasa sosial dan keamanan operasional, bukan celah kode”.

Pertanyaan paradigma untuk audit keamanan DeFi

Trail of Bits dan ClawSecure sama-sama melakukan audit kode terhadap Drift. Namun serangan kali ini tidak menyentuh satu baris kode pun.

Audit keamanan tradisional berfokus pada “sisi eksekusi”—pemeriksaan bug saat kode dijalankan. Tetapi serangan ini terjadi pada “sisi otorisasi”—penyerang memperoleh otorisasi tanda tangan yang sah, sehingga semua tindakan pada sisi eksekusi tampak sepenuhnya sesuai. Ini berarti sistem audit keamanan DeFi saat ini memiliki celah buta yang bersifat sistemik: ia dapat memeriksa apakah kode memiliki bug, tetapi tidak dapat memverifikasi apakah izin/persetujuan telah diberikan dengan benar.

Batas nilai audit keamanan sedang didefinisikan ulang. Keamanan kode hanya merupakan “prasyarat bersama” minimum untuk keamanan DeFi. Tata kelola multisig, keamanan tanda tangan, pertahanan terhadap rekayasa sosial, konfigurasi time lock, redundansi oracle—elemen-elemen “keamanan proses”—sering kali lebih kritis daripada audit kode itu sendiri, namun dalam jangka panjang berada di luar cakupan audit.

Dilema peran penerbit stablecoin

Peristiwa ini memaksa industri meninjau kembali satu pertanyaan: penerbit stablecoin seharusnya memainkan peran apa? USDC dan USDT dalam klausul mereka sama-sama memberi penerbit kekuasaan untuk membekukan alamat secara sepihak. Rancangan kekuasaan ini pada dasarnya untuk mendukung permintaan penegakan hukum dan perintah pengadilan. Namun ketika terjadi pencurian bernilai angka sembilan digit, apakah penerbit harus secara proaktif menggunakan kekuasaan ini? Jika ya, standar apa yang digunakan? Jika tidak, bagaimana membuktikan bahwa kekuasaan ini memiliki makna aktual?

Masalah yang lebih rumit adalah intervensi yang selektif. Circle membekukan 16 dompet perusahaan dalam perkara perdata, namun tidak mengambil tindakan dalam kasus pencurian yang dikonfirmasi. Ketidakkonsistenan semacam ini mungkin lebih merusak kepercayaan industri dibandingkan “tidak melakukan intervensi sama sekali”.

Prediksi evolusi multi-skenario

Berdasarkan informasi yang diketahui saat ini, masa depan dapat berkembang ke beberapa arah berikut:

Skenario satu: Dana sulit dipulihkan, dana asuransi memulai kompensasi sebagian

Dasar logika: Penyerang telah mengonversi sekitar 267 juta dolar AS aset menjadi ETH, lalu membersihkannya melalui cross-chain dan layanan mixing. Data historis menunjukkan bahwa tingkat keberhasilan pemulihan dana pada peristiwa kebocoran DeFi berskala besar umumnya rendah. Dana asuransi Drift tidak terkena dampak langsung dalam peristiwa ini, dan mungkin digunakan untuk kompensasi sebagian bagi pengguna.

Variabel kunci: tingkat keterlibatan penegak hukum, efektivitas teknik pelacakan on-chain, dan sejauh mana dukungan dari bridge lintas rantai serta bursa terpusat.

Skenario dua: Peningkatan sistematis standar keamanan ekosistem Solana

Dasar logika: Peristiwa ini mengekspos kelemahan sistematis ekosistem Solana pada tata kelola multisig, konfigurasi time lock, dan pertahanan terhadap rekayasa sosial. Industri mungkin akan mendorong standar keamanan yang lebih ketat, termasuk time lock wajib, batas bawah ambang multisig, audit keamanan sisi penandatangan (signing end), serta konfigurasi oracle multi-sumber.

Variabel kunci: kemauan protokol papan atas untuk berinvestasi pada keamanan, kecepatan perluasan layanan lembaga audit, dan efisiensi respons tata kelola komunitas.

Skenario tiga: Kerangka regulasi stablecoin dipercepat untuk dipertegas

Dasar logika: Peran Circle yang kontroversial dalam peristiwa ini dapat mempercepat penyusunan aturan oleh regulator mengenai tanggung jawab intervensi proaktif penerbit stablecoin. Pokok isu utamanya mencakup: sejauh mana penerbit wajib memantau arus dana on-chain? Dalam kondisi apa alamat dapat atau seharusnya dibekukan? Untuk melaksanakan hak intervensi, otorisasi yudisial seperti apa yang diperlukan?

Variabel kunci: proses legislasi di AS dan yurisdiksi utama lainnya, pembentukan organisasi self-regulation industri, serta perubahan peta persaingan pasar stablecoin.

Skenario empat: Metode serangan direplikasi, lebih banyak protokol menghadapi risiko serupa

Dasar logika: Metode inti serangan ini—pra-tandatangan durable nonce yang dikombinasikan dengan jendela migrasi multisig—sebelumnya hampir tidak pernah dibahas secara terbuka. Protokol Solana lain yang menggunakan konfigurasi multisig serupa namun tidak menetapkan time lock mungkin menghadapi risiko yang sama.

Variabel kunci: kecepatan respons audit keamanan masing-masing protokol, motif keuntungan penyerang, dan kendala moral (jika terbukti terkait Korea Utara, kemungkinan replikasi bisa meningkat secara signifikan).

Penutup

Peristiwa kebocoran Drift Protocol senilai 285 juta dolar AS adalah sebuah cermin. Cermin itu bukanlah tentang kerapuhan kode smart contract, melainkan tentang celah-celah dalam arsitektur tata kelola DeFi yang selama ini lama diabaikan: ambang multisig 2/5, time lock yang tidak ada, meremehkan keamanan sisi penandatangan, dan ketidakpastian hak intervensi penerbit stablecoin.

Ketika industri menaruh sebagian besar anggaran keamanan ke audit kode, penyerang memilih jalur lain yang lebih rendah biaya dan lebih tinggi imbalannya—menyerang “manusia”. Ini adalah proposisi inti yang harus dihadapi keamanan DeFi pada 2026: keamanan kode saja tidak cukup. Keamanan tata kelola, keamanan operasional, dan pertahanan terhadap rekayasa sosial harus dinaikkan sampai setara pentingnya dengan audit smart contract.

Guncangan kepercayaan terhadap ekosistem Solana akibat peristiwa ini bisa berlangsung berbulan-bulan, bahkan lebih lama. Namun bagi industri DeFi secara keseluruhan, ini mungkin merupakan uji tekanan sistemik yang terlambat—mengingatkan semua pihak bahwa dalam sistem keuangan tanpa otoritas pusat, setiap lapisan keamanan adalah bagian yang tidak terpisahkan dari rantai keamanan secara keseluruhan. Kekuatan rantai keamanan bergantung pada bagian yang paling lemah.