Saya baru saja membaca analisis yang cukup mengkhawatirkan tentang apa yang terjadi dengan Drift Protocol baru-baru ini. Ternyata eksploitasi sebesar 270 juta dolar bukanlah serangan acak, melainkan operasi intelijen Korea Utara yang direncanakan dengan cermat selama sekitar enam bulan.

Yang paling mengkhawatirkan adalah bagaimana mereka melakukannya. Sebuah kelompok yang terkait dengan Negara Korea Utara menyusup ke ekosistem Drift dengan berpura-pura menjadi sebuah firma perdagangan kuantitatif. Untuk memahami apa itu Drift dan bagaimana cara kerjanya, Anda perlu tahu bahwa ini adalah protokol DeFi yang mengandalkan tanda tangan ganda untuk keamanan. Nah, para penyerang ini sangat sabar dan canggih. Pertama mereka melakukan kontak sekitar musim gugur 2025 di sebuah konferensi kripto penting, memperkenalkan diri sebagai spesialis perdagangan. Mereka memiliki kredensial profesional yang dapat diverifikasi, berbicara bahasa teknis protokol, dan tahu persis apa yang harus dikatakan.

Selama berbulan-bulan mereka menjaga percakapan substansial tentang strategi dan brankas ekosistem, sesuatu yang sangat normal dalam bagaimana firma berintegrasi ke dalam protokol DeFi. Antara Desember 2025 dan Januari 2026, mereka menambahkan Brankas Ekosistem, melakukan sesi kerja dengan kolaborator Drift, menyetor lebih dari satu juta dolar dari modal mereka sendiri, dan secara operasional menetap di dalam ekosistem. Yang paling berani adalah mereka bertemu secara langsung dengan tim Drift di beberapa konferensi penting selama Februari dan Maret. Pada April, saat mereka melancarkan serangan, hubungan tersebut sudah hampir setengah tahun lamanya.

Infiltrasi terjadi melalui dua vektor teknis. Pertama, mereka mengunduh aplikasi dari TestFlight, platform Apple yang mendistribusikan aplikasi versi awal tanpa pemeriksaan keamanan, dan mengklaim sebagai produk dompet mereka. Kedua, mereka mengeksploitasi kerentanan yang diketahui di VSCode dan Cursor, dua editor kode paling banyak digunakan dalam pengembangan, di mana hanya dengan membuka sebuah file mereka bisa menjalankan kode arbitrer tanpa peringatan. Setelah perangkat mereka dikompromikan, mereka mendapatkan apa yang diperlukan untuk memperoleh dua persetujuan multisig yang memungkinkan serangan pada 1 April, menguras 270 juta dolar dalam kurang dari satu menit.

Para peneliti mengaitkan semua ini dengan UNC4736, yang juga dikenal sebagai AppleJeus atau Citrine Sleet, sebuah kelompok yang terkait dengan Negara Korea Utara. Yang menarik adalah bahwa individu yang bertemu secara langsung bukanlah warga Korea Utara, melainkan perantara dengan identitas yang sepenuhnya dibangun, riwayat pekerjaan palsu, dan jaringan profesional yang dirancang untuk lolos dari verifikasi apa pun.

Ini mengungkapkan sesuatu yang tidak nyaman bagi seluruh industri DeFi: jika para penyerang bersedia menginvestasikan enam bulan dan satu juta dolar untuk membangun kehadiran yang sah, bertemu dengan tim secara langsung, dan menunggu dengan sabar, model keamanan apa yang benar-benar dirancang untuk mendeteksi hal tersebut? Drift kini memperingatkan bahwa industri harus mengaudit kontrak akses dan memperlakukan setiap perangkat yang berinteraksi dengan multisig sebagai target potensial. Pertanyaan mendasar adalah apakah multisig sebagai model keamanan utama di DeFi cukup melawan lawan dengan tingkat ini.