Kelompok Korea Utara Menuduh Peretasan Drift Protocol Senilai $285 Juta Telah Direncanakan Selama Enam Bulan

Tanggal 1 April 2026 mengeksploitasi of berandaProtokol Drift yang berbasis di platform tersebut, yang menguras sekitar $285 juta dari platform, bukanlah serangan spontan. Menurut laporan awal Drift, investigasiHal itu merupakan hasil dari operasi intelijen terstruktur yang dimulai setidaknya enam bulan sebelumnya, yang dikaitkan dengan tingkat kepercayaan menengah-tinggi kepada UNC4736, sebuah kelompok ancaman yang berafiliasi dengan negara Korea Utara yang juga dilacak sebagai AppleJeus atau Citrine Sleet.

Bagaimana sebenarnya peretasan Protokol Drift dimulai?

Menurut tim Drift Protocol, operasi tersebut dimulai di sebuah konferensi kripto besar pada Musim Gugur 2025, di mana individu-individu yang mengaku sebagai perusahaan perdagangan kuantitatif mendekati para kontributor Drift. Apa yang terjadi selanjutnya bukanlah upaya phishing yang cepat. Itu adalah kampanye membangun hubungan yang disengaja dan berlangsung selama berbulan-bulan, dilakukan melalui berbagai pertemuan tatap muka, di berbagai konferensi industri, di berbagai negara.

Kelompok tersebut mahir secara teknis, memiliki latar belakang profesional yang dapat diverifikasi, dan menunjukkan pemahaman mendalam tentang cara kerja Drift. Sebuah grup Telegram dibentuk setelah pertemuan pertama, dan diskusi substantif tentang strategi perdagangan dan integrasi vault berlanjut selama berbulan-bulan. Tim Drift mencatat bahwa interaksi ini sepenuhnya konsisten dengan bagaimana perusahaan perdagangan yang sah biasanya berinteraksi dengan protokol tersebut.

Dari Desember 2025 hingga Januari 2026, kelompok tersebut mendaftarkan Ecosystem Vault di Drift. Proses ini melibatkan pengajuan detail strategi melalui formulir pendaftaran formal, berpartisipasi dalam beberapa sesi kerja dengan kontributor Drift, dan menyetorkan lebih dari $1 juta modal mereka sendiri. Mereka membangun kehadiran operasional yang berfungsi di dalam protokol, dengan sengaja dan sabar.

Bulan-bulan Terakhir Sebelum Eksploitasi

Pembicaraan integrasi berlanjut sepanjang Februari dan Maret 2026. Para kontributor Drift bertemu kembali dengan individu-individu dari kelompok tersebut secara langsung di acara-acara industri besar. Pada saat April tiba, hubungan tersebut telah terjalin hampir enam bulan. Mereka bukanlah orang asing. Mereka adalah orang-orang yang telah bekerja sama dengan tim Drift dan bertemu langsung beberapa kali.

Sepanjang periode ini, kelompok tersebut membagikan tautan ke proyek, alat, dan aplikasi yang mereka klaim sedang mereka kembangkan. Berbagi sumber daya semacam itu adalah praktik standar dalam hubungan perusahaan perdagangan, dan justru itulah yang menjadikannya mekanisme penyampaian yang efektif.

Apa Saja Vektor Serangan Teknisnya?

Setelah serangan siber pada 1 April, Drift melakukan tinjauan forensik terhadap perangkat, akun, dan riwayat komunikasi yang terpengaruh. Obrolan Telegram dan perangkat lunak berbahaya yang digunakan oleh kelompok tersebut telah sepenuhnya dihapus pada saat serangan terjadi. Investigasi Drift mengidentifikasi tiga kemungkinan vektor intrusi:

• Salah satu kontributor mungkin telah menjadi korban peretasan setelah mengkloning repositori kode yang dibagikan grup tersebut, yang disajikan sebagai alat penyebaran antarmuka pengguna untuk brankas mereka.
• Kontributor kedua dibujuk untuk mengunduh aplikasi TestFlight yang oleh kelompok tersebut digambarkan sebagai produk dompet mereka. TestFlight adalah platform Apple untuk mendistribusikan versi beta aplikasi iOS sebelum dirilis secara publik.
• Untuk vektor berbasis repositori, mekanisme yang mungkin terjadi adalah kerentanan yang diketahui pada editor kode VSCode dan Cursor yang secara aktif ditandai oleh para peneliti keamanan antara Desember 2025 dan Februari 2026. Membuka file, folder, atau repositori di editor yang terpengaruh sudah cukup untuk mengeksekusi kode sembarang secara diam-diam, tanpa prompt, peringatan, dialog izin, atau indikasi visual apa pun kepada pengguna.

Analisis forensik lengkap terhadap perangkat keras yang terpengaruh masih berlangsung pada saat publikasi.

Seberapa Cepat Serangan Itu Dilakukan?

Persiapannya mungkin memakan waktu enam bulan, tetapi eksekusinya sangat cepat. Begitu kendali admin atas protokol diambil alih, dana pengguna sungguhan dikuras dalam waktu kurang dari 12 menit. Total nilai terkunci (TVL) Drift turun dari sekitar $550 juta menjadi kurang dari $300 juta dalam waktu kurang dari satu jam. Token DRIFT jatuh lebih dari 40% selama insiden tersebut. Perusahaan keamanan PeckShield mengkonfirmasi bahwa total kerugian melebihi $285 juta, yang mewakili lebih dari 50% dari TVL protokol pada saat itu.

Tim Drift memposting di X selama kekacauan untuk mengklarifikasi bahwa situasi tersebut benar-benar terjadi, dengan menulis: "Ini bukan lelucon April Mop. Lanjutkan dengan hati-hati sampai pemberitahuan lebih lanjut." Semua deposit dan penarikan ditangguhkan saat investigasi dimulai.

Temukan Proyek yang Menjanjikan...

Proyek yang Menjanjikan...

(Iklan)

Artikel berlanjut...

Ke mana perginya uang sebesar $285 juta itu?

Penyerang bergerak cepat untuk menyamarkan jejak dana setelah eksploitasi. Aset curian dikonversi ke USDC dan SOL, kemudian dijembatani dari Solana ke Ethereum menggunakan Protokol Transfer Lintas Rantai (CCTP) Circle. CCTP adalah infrastruktur penghubung asli Circle yang memungkinkan USDC berpindah antar blockchain yang berbeda tanpa pembungkus. Di Ethereum, dana tersebut dikonversi menjadi ETH. Pelacakan on-chain mengkonfirmasi bahwa penyerang akhirnya mengumpulkan 129,066 ETH, senilai sekitar $273 juta pada saat itu.

Penyerang juga menyetorkan SOL ke HyperLiquid dan Binance, menyebarkan aktivitas ke berbagai platform untuk mempersulit upaya pelacakan.

Apakah Circle merespons cukup cepat?

Peneliti on-chain ZachXBT secara terbuka mengkritik Circle setelah eksploitasi tersebut, dengan menunjukkan bahwa sejumlah besar USDC curian disalurkan dari Solana ke Ethereum selama jam kerja AS tanpa dibekukan. ZachXBT membandingkan hal ini dengan keputusan Circle baru-baru ini untuk membekukan 16 dompet panas perusahaan yang tidak terkait dalam kasus perdata AS yang tertutup, dengan alasan bahwa Circle memiliki kemampuan teknis dan preseden yang jelas untuk campur tangan tetapi gagal bertindak cukup cepat untuk membatasi kerugian.

Siapakah Dalang di Balik Serangan Ini?

Dengan tingkat keyakinan sedang hingga tinggi, dan didukung oleh investigasi yang dilakukan oleh tim SEALS 911, penyelidikan Drift mengaitkan operasi tersebut dengan aktor ancaman yang sama yang bertanggung jawab atas peretasan Radiant Capital pada Oktober 2024. Serangan itu secara resmi dikaitkan oleh Mandiant kepada UNC4736, sebuah kelompok yang berafiliasi dengan negara Korea Utara.

Dasar dari koneksi ini bersifat on-chain dan operasional. Aliran dana yang digunakan untuk merancang dan menguji operasi Drift dapat ditelusuri kembali ke dompet yang terkait dengan penyerang Radiant. Selain itu, persona yang digunakan sepanjang kampanye Drift memiliki tumpang tindih yang dapat diidentifikasi dengan pola aktivitas yang diketahui terkait dengan Korea Utara.

Satu klarifikasi penting dari tim Drift: individu-individu yang hadir secara langsung di konferensi bukanlah warga negara Korea Utara. Pada tingkat operasi ini, aktor ancaman yang terkait dengan Korea Utara diketahui menggunakan perantara pihak ketiga untuk menangani pembangunan hubungan tatap muka, menjaga jarak antara operator sebenarnya.

Mandiant telah secara resmi dilibatkan dalam penyelidikan ini tetapi belum mengeluarkan atribusi resmi untuk eksploitasi Drift. Penentuan tersebut membutuhkan penyelesaian forensik perangkat, yang masih berlangsung.

Langkah-langkah Respons Saat Ini

Sampai saat publikasi, Drift telah mengambil langkah-langkah berikut:

• Semua fungsi protokol yang tersisa telah dibekukan.
• Dompet yang terkompromikan telah dihapus dari multisig.
• Dompet penyerang telah terdeteksi di berbagai bursa dan operator jembatan.
• Mandiant telah ditunjuk sebagai mitra forensik utama.

Drift menyatakan bahwa mereka membagikan detail ini secara publik agar tim lain dalam ekosistem dapat memahami seperti apa sebenarnya jenis serangan ini, dan mengambil langkah-langkah untuk melindungi diri mereka sendiri.

Kesimpulan

Peretasan Drift Protocol bukanlah kisah tentang kerentanan kode yang lolos dari audit. Ini adalah kisah tentang penipuan manusia yang berkelanjutan. Para penyerang menghabiskan waktu enam bulan untuk membangun kredibilitas melalui pertemuan tatap muka, integrasi brankas yang berfungsi, dan lebih dari $1 juta modal yang mereka setorkan sendiri sebelum melakukan pengurasan dana sebesar $285 juta dalam waktu 12 menit.

 Vektor teknis tersebut, yaitu repositori kode berbahaya dan aplikasi TestFlight palsu, efektif justru karena kepercayaan yang dibutuhkan untuk membukanya telah dibangun dengan cermat. 

Bagi protokol DeFi, pelajarannya sangat jelas: permukaan serangan tidak terbatas pada kontrak pintar. Ini mencakup setiap perangkat kontributor, setiap repositori pihak ketiga, dan setiap hubungan yang dibangun di konferensi industri. UNC4736 telah mendemonstrasikan hal ini dua kali, pertama di Radiant Capital pada Oktober 2024, dan sekali lagi di Drift pada April 2026, dengan pendekatan yang sama, sabar, dan didukung sumber daya yang memadai setiap kali.

Publikasi

1. Protokol Pergeseran pada X: Postingan pada 5 Maret

2. PeckShield di X: Postingan (1-2 April)

3. Lookonchain di X: Postingan (1-2 April)