#Gate广场四月发帖挑战

$285 juta dolar mengalir dalam 12 menit. Eksploitasi DeFi terbesar tahun 2026 tidak terjadi karena bug kontrak pintar. Itu terjadi karena dua orang tertipu untuk menandatangani dokumen yang tidak mereka pahami sepenuhnya.
Pada 1 April 2026, Drift Protocol, bursa futures perpetual terdesentralisasi terbesar di blockchain Solana, dibongkar oleh seorang penyerang yang telah mempersiapkan diri selama berminggu-minggu. Apa yang terjadi selanjutnya adalah salah satu eksploitasi paling tepat secara teknis dan paling merusak secara struktural dalam sejarah DeFi.
PROTOKOL SEBELUM SERANGAN
Drift Protocol adalah tempat derivatif terdesentralisasi dominan di Solana, memegang lebih dari $550 juta dolar dalam total nilai terkunci. Ini berfungsi sebagai lapisan infrastruktur inti untuk perdagangan futures perpetual, pinjaman, dan posisi leverage.
Lebih dari 20 protokol berbasis Solana terintegrasi dengan Drift atau memiliki eksposur treasury terhadapnya. Integrasi mendalam ini adalah alasan mengapa dampaknya tidak tetap terbatas.
STRUKTUR SERANGAN
Eksploitasi ini bukan kegagalan kontrak pintar tetapi kegagalan tata kelola.
23 Maret 2026:
Penyerang membuat empat akun nonce tahan lama. Fitur Solana ini memungkinkan transaksi yang telah ditandatangani sebelumnya tetap berlaku tanpa batas waktu. Alih-alih kedaluwarsa dengan cepat, persetujuan ini dapat dieksekusi kapan saja.
23–30 Maret:
Melalui rekayasa sosial yang ditargetkan, penyerang meyakinkan dua dari lima penandatangan multisig Dewan Keamanan untuk menandatangani transaksi sebelumnya. Persetujuan ini disimpan menggunakan akun nonce tahan lama.
Ini menciptakan otorisasi 2-dari-5 yang valid yang dapat dieksekusi nanti.
Sebelum serangan:
Penyerang mencetak token palsu bernama CarbonVote Token (CVT), menciptakan likuiditas dan riwayat harga buatan agar terlihat sah.
PENYALURAN 1 APRIL
Detik sebelum eksploitasi:
Penyerang menggunakan akses admin yang dikompromikan untuk:
Menambahkan CVT sebagai jaminan
Mematikan circuit breaker protokol
Lalu dilakukan loop pinjaman:
Setor CVT
Pinjam aset nyata
Ulangi
Karena data harga yang dimanipulasi memperlakukan CVT sebagai jaminan yang valid, sistem memproses ini sebagai pinjaman yang sepenuhnya didukung.
DRAIN 12-MENIT
Lima vault dikuras, termasuk USDC, Bitcoin terbungkus, Solana, dan token JLP.
Total kerugian: sekitar $285 juta dolar, lebih dari 50% dari total nilai terkunci.
Eksekusi sebenarnya hanya berlangsung beberapa detik, sementara seluruh rangkaian transaksi berlangsung sekitar 12 menit.
ASSET YANG DICURI
Sekitar $230 juta dolar dalam USDC
Sisa dalam BTC, SOL, dan token protokol
Penyerang dengan cepat mengonversi aset menjadi bentuk cair dan mulai transfer lintas-chain.
Dana dipindahkan dari Solana ke Ethereum menggunakan Cross-Chain Transfer Protocol Circle dalam lebih dari 100 transaksi. Setelah dipindahkan, aset didistribusikan ke berbagai dompet.
PENYEBAB
Perusahaan forensik blockchain termasuk Elliptic, TRM Labs, dan DivergSec mengidentifikasi pola yang konsisten dengan Lazarus Group dari Korea Utara.
Indikator termasuk:
Penggunaan infrastruktur Tornado Cash
Polanya waktu
Strategi pergerakan lintas-chain
Perilaku pencucian uang cepat
Ini sejalan dengan eksploitasi besar sebelumnya, termasuk insiden Ronin dan Bybit.
EFFECT KONTAK
Integrasi Drift menyebabkan kerusakan yang lebih luas di ekosistem DeFi Solana.
Protokol yang terdampak meningkat dari 11 menjadi 20
Beberapa proyek melaporkan kerugian
Beberapa kehilangan seluruh dana yang dideploy
TVL Drift turun dari $550M menjadi di bawah $232M dalam beberapa jam.
Setoran dan penarikan dihentikan, dan bursa menandai token DRIFT sebagai risiko.
KONTROVERSI CIRCLE
Sebuah masalah besar muncul terkait respons Circle.
Meskipun $230M dalam USDC bergerak melalui infrastrukturnya, tidak ada tindakan pembekuan langsung selama serangan.
Ini menimbulkan kekhawatiran tentang apakah penerbit stablecoin dapat merespons secara nyata waktu nyata selama eksploitasi.
KEGAGALAN INTI
Akar penyebabnya adalah desain tata kelola.
Pada 27 Maret, Drift memigrasikan Dewan Keamanannya:
Ambang multisig 2-dari-5
Tanpa timelock
Tanpa penundaan antara persetujuan dan eksekusi
Ini berarti dua tanda tangan yang dikompromikan dapat memicu kontrol penuh secara instan.
Tidak ada perlindungan, tidak ada peringatan pemantauan, dan tidak ada mekanisme penundaan.
KONTEKS LEBIH LUAS
Ini adalah:
Eksploitasi DeFi terbesar tahun 2026
Salah satu yang terbesar dalam sejarah Solana
Polanya mencerminkan pergeseran strategi serangan:
Fokus pada kerentanan tata kelola
Penggunaan rekayasa sosial
Eksekusi cepat di luar kecepatan respons manusia
KESIMPULAN
Eksploitasi Drift bukanlah kegagalan kode. Itu adalah kegagalan tata kelola, keamanan operasional, dan sistem respons.
Dua tanda tangan, diperoleh melalui manipulasi, membuka akses ke ratusan juta dana pengguna.
Implikasinya melampaui satu protokol. Mereka menimbulkan pertanyaan mendasar tentang seberapa aman infrastruktur DeFi ketika sistem tata kelola tetap rentan.
#DriftProtocolHacked
#CreaterLeaderBoard