Mengungkap secara mendalam insiden peretasan sebesar 285 juta dolar Drift: Bagaimana tata kelola DeFi harus meninggalkan "kelompok tidak resmi"?

null

Pada 1 April 2026, bursa kontrak perpetual terdesentralisasi terbesar di ekosistem Solana, Drift Protocol, mengalami pukulan epik. Dalam waktu hanya beberapa menit, aset kripto senilai hingga 285 juta dolar AS telah dirampok habis, mencatat kejadian keamanan terbesar di bidang DeFi tahun ini.

Seiring dengan penguraian data di blockchain dan keterlibatan lembaga keamanan yang mendalam, gambaran lengkap dari serangan APT yang diduga dipimpin oleh kelompok peretas Korea Utara mulai terungkap. Yang menyedihkan, penghancuran benteng DeFi bernilai miliaran dolar ini bukan disebabkan oleh celah zero-day yang rumit, melainkan oleh sebuah serangan rekayasa sosial yang berlangsung selama berbulan-bulan dan menyentuh aspek paling manusiawi.

Bencana ini bukan hanya menjadi momen paling gelap bagi Drift, tetapi juga mengungkapkan celah besar dalam tata kelola dan pengelolaan kunci di industri DeFi saat ini.

Serangan yang Direncanakan Matang: Bagaimana Drift Perlahan-lahan Jatuh?

Dengan menelusuri jalur serangan para peretas, kita akan menemukan bahwa ini adalah operasi kolaboratif multi-lini yang sangat terencana dan penuh kesabaran. Para penyerang memanfaatkan kepercayaan buta komunitas Web3 terhadap “kode adalah hukum” dan kelalaian terhadap “manusia” sebagai faktor paling lemah.

Langkah Pertama: Berpakaian “Market Maker” dan Bersembunyi

Hampir enam bulan sebelum kejadian, pelaku menyamar sebagai lembaga perdagangan kuantitatif yang memiliki dana besar. Mereka tidak hanya bergaul dengan tim inti Drift di berbagai konferensi kripto, tetapi juga menyetor dana nyata jutaan dolar ke dalam protokol. Melalui partisipasi dalam pengujian produk dan pengajuan strategi berkualitas tinggi, peretas berhasil menyusup ke dalam grup komunikasi internal Drift dan membangun kepercayaan yang mematikan.

Langkah Kedua: Menanam Bom Waktu dengan “Nomor Acak Permanen”

Setelah mendapatkan kepercayaan dari kontributor utama, peretas mulai memanfaatkan mekanisme “Nomor Nonce Permanen (Durable Nonces)” khas jaringan Solana. Mekanisme ini memungkinkan transaksi ditandatangani secara offline terlebih dahulu dan kemudian disiarkan untuk dieksekusi kapan saja di masa depan. Dengan kata-kata yang cerdik dan kebutuhan pengujian yang disamarkan, peretas mengelabui anggota Dewan Keamanan Drift untuk melakukan “Penandatanganan Buta (Blind Signing)” terhadap beberapa transaksi yang tampaknya biasa. Padahal, Payload asli dari transaksi tersebut adalah untuk mengalihkan kendali tertinggi atas pengelolaan protokol (Admin).

Langkah Ketiga: Multi-Signature 2/5 yang Mematikan dan Tanpa Kunci Waktu

Pada 27 Maret, Drift melakukan pembaruan tata kelola yang mematikan: memindahkan Dewan Keamanan ke arsitektur multi-sig 2/5 yang baru, dan menghapuskan fitur kunci waktu (Timelock). Ini berarti, selama dua tanda tangan terkumpul, setiap instruksi untuk mengubah logika dasar protokol akan langsung dieksekusi tanpa waktu tunda, bahkan tanpa reaksi cepat seperti memutus koneksi internet.

Langkah Keempat: Mesin Penarik “Uang Palsu” yang Mirip Fatamorgana

Pada 1 April, para peretas mengaktifkan semua deploy yang telah mereka siapkan. Mereka menyiarkan instruksi multi-sig yang telah mereka curi sebelumnya, langsung mengambil alih hak Admin dari protokol. Selanjutnya, mereka menambahkan token palsu bernama CVT (CarbonVote Token) ke daftar putih dan memaksimalkan batas pinjamannya. Dengan manipulasi harga melalui oracle, mereka menggunakan sejumlah token kosong sebagai jaminan, dan secara sah “meminjam” 285 juta dolar AS dari vault Drift dalam bentuk USDC, SOL, dan ETH.

Tanda tangan yang Sah ≠ Niat yang Sah: Titik Lemah Keamanan DeFi

Dalam kejadian Drift ini, yang paling menyedihkan adalah: di mata mesin virtual blockchain, setiap langkah peretas tampak “sah”. Mereka tidak memanfaatkan celah overflow, tidak melakukan serangan re-entry, mereka hanya mendapatkan kunci admin yang sah, lalu dengan anggun masuk ke dalam vault.

Ini mengungkapkan ketimpangan besar dalam pengelolaan dana di protokol DeFi saat ini: menggunakan alat yang setara dengan alat pengelolaan ritel ratusan dolar untuk mengelola kas institusi bernilai miliaran dolar.

Saat ini, sebagian besar protokol DeFi utama masih sangat bergantung pada mekanisme multi-sig berbasis smart contract tradisional (seperti Safe atau multi-sig native). Arsitektur ini memiliki dua kelemahan fatal:

Tidak mampu melawan rekayasa sosial: Asalkan peretas berhasil mengelabui (melalui phishing, paksaan, atau penyuapan) beberapa pemilik kunci pribadi, pertahanan akan runtuh.

Kurangnya verifikasi niat: Multi-sig hanya memverifikasi “apakah ini ditandatangani oleh orang-orang ini”, bukan “apakah mereka menandatangani sebagai bagian dari kontrak jual beli”.

Dari Eksperimen Teknologi ke Infrastruktur Keuangan: Evolusi Keamanan Web3 yang Wajib

Drift yang kehilangan 285 juta dolar AS ini memberi pelajaran mahal: seiring dengan percepatan integrasi Web3 dan keuangan tradisional, protokol DeFi harus meninggalkan model tata kelola yang hanya bergantung pada disiplin pengembang dan multi-sig sederhana, dan mengadopsi standar keamanan tingkat institusi.

Saat ini, para pelaku utama industri dan pengamat keamanan telah sepakat bahwa iterasi keamanan berikutnya dari infrastruktur DeFi harus mencakup peningkatan di beberapa dimensi inti berikut:

Peningkatan dasar kriptografi: Menuju HSM (Hardware Security Module)

Dibandingkan dengan agregasi multi-sig berbasis perangkat lunak, HSM menyimpan kunci pribadi protokol dalam chip yang telah terotentikasi dan dienkripsi tingkat militer, sehingga kunci tidak dapat diekspor. Isolasi fisik dan kontrol keamanan tingkat perangkat keras ini secara fundamental menghilangkan risiko serangan rekayasa sosial dari internal maupun peretasan perangkat, memberikan perlindungan kunci yang jauh melampaui multi-sig tradisional.

Memperkenalkan “Strategi Berbasis Niat” (Policy Engine)

Pengelolaan hak akses DeFi di masa depan tidak lagi cukup hanya dengan verifikasi tanda tangan. Sistem harus menyertakan logika pengendalian risiko, misalnya: saat sebuah transaksi mencoba mengubah batas pinjaman token yang tidak dikenal (seperti CVT dalam kasus Drift) menjadi tak terbatas, mesin kebijakan harus mampu secara otomatis mengenali niat yang mencurigakan, memicu mekanisme pemutus, dan mewajibkan verifikasi tingkat lebih tinggi (seperti pengawasan manusia berlapis, verifikasi video, atau kunci waktu paksa).

Mengadopsi Pengelolaan Kepatuhan Independen

Seiring dengan meningkatnya total nilai terkunci (TVL), pengembang protokol harus fokus pada logika kode dan inovasi bisnis, sementara pengelolaan vault bernilai miliaran dolar dan pertahanan keamanannya diserahkan kepada lembaga pihak ketiga yang berlisensi dan teraudit. Sama seperti di keuangan tradisional, bursa tidak akan menaruh aset pengguna di brankas pribadi pemiliknya. Memperkenalkan proses pengelolaan risiko tingkat institusi yang kuat dan teraudit adalah jalan wajib menuju adopsi massal DeFi.

Seperti yang dianjurkan oleh lembaga layanan keamanan aset digital jangka panjang seperti Cactus Custody: Desentralisasi DeFi tidak boleh menjadi alasan untuk menghindari pengendalian risiko sistemik.

Kejadian peretasan Drift mungkin menjadi titik balik. Ia menandai runtuhnya tata kelola “tim dadakan” dan juga mengisyaratkan kedatangan paradigma keamanan baru yang berfokus pada arsitektur perangkat keras, verifikasi niat, dan pengelolaan profesional. Hanya dengan memperkuat pertahanan ini, Web3 dapat benar-benar menanggung masa depan bernilai triliunan dolar.