Pada akhir pekan lalu, tim di belakang Drift, sebuah protokol kripto untuk perdagangan futures perpetual di Solana, memberikan pembaruan mengenai peretasan yang menimpa proyek mereka pada 1 April. Dalam laporannya, disebutkan bahwa operasi intelijen selama enam bulan yang dijalankan grup peretas kriminal terkait rezim Korea Utara ditengarai sebagai sumber serangan. Namun, beberapa pengamat juga menyoroti kemungkinan kelalaian atau bahkan kealpaan dari tim Drift sendiri.
Peretasan ini menyedot sekitar $285 juta dari pool penyimpanan Drift, yang menampung stablecoin seperti USDC, serta JLP, SOL, dan aset kripto lainnya. Dua firma pelacak blockchain, TRM Labs dan Elliptic, berhasil merekonstruksi kronologi lengkap kejadian.
Semua berawal pada pertengahan Maret 2026. Para penyerang pertama-tama mengalirkan dana melalui layanan pencampur seperti Tornado Cash untuk menghilangkan jejak, lalu menyiapkan akun-akun khusus yang memungkinkan mereka mempersiapkan transaksi tertentu secara dini. Pada 27 Maret, tim keamanan Drift beralih ke sistem persetujuan baru yang hanya memerlukan dua dari lima pemegang kunci untuk menyetujui perubahan besar, serta menghapus masa tunggu bawaan yang seharusnya dapat memicu peringatan. Peretas kemudian mencetak 750 juta token palsu baru bernama CarbonVote Token (CVT). Mereka memanipulasi aktivitas perdagangan sehingga alat pengecek harga Drift menganggap token tak bernilai ini sebagai kolateral sah bernilai tinggi yang bisa menjamin penarikan dana besar-besaran.
Pada 1 April, mereka menjalankan transaksi yang telah dipersiapkan. Ini memungkinkan mereka menambahkan token palsu ke platform, meningkatkan batas peminjaman, mendump ratusan juta token tiruan ke dalam sistem, dan mengeringkan aset nyata melalui 31 penarikan cepat. Seluruh proses berlangsung sekitar 12 menit. Mereka lalu dengan cepat menukar dana curian menjadi USDC di sebuah bursa Solana dan memindahkan semuanya ke jaringan Ethereum untuk menutupi jejak.
I beg everyone in crypto to read this in full.
I expected this to be another case of social engineering, likely some recruiter/job offer shit.
I was very wrong.
And the depth of the operation and personas makes me think they already have multiple other teams on lock.
😳 https://t.co/8ZTEDwqs9Y— Tay 💖 (@tayvano_) April 5, 2026
Pendekatan ini mirip dengan eksploitasi baru-baru ini pada protokol Resolv dan stablecoin USR-nya. Dalam kasus itu, penyerang memperoleh kendali atas kunci penandatanganan AWS istimewa, mencetak hampir 80 juta token USR baru dengan jaminan kolateral nyata hanya ratusan ribu dolar, dan menguangkan sekitar $25 juta. Kedua kasus bergantung pada akses kunci privat, bukan kerentanan kode murni, ditambah kemampuan untuk menerbitkan atau mengagunkan aset jauh melampaui batas normal.
TRM Labs dan Elliptic mengidentifikasi keterkaitan Korea Utara dalam hitungan hari setelah insiden 1 April. Indikatornya mencakup persiapan on-chain yang sesuai dengan waktu setempat Pyongyang dan pola perilaku yang cocok dengan aktivitas terkait DPRK sebelumnya.
Pembaruan publik Drift di X memberikan detail lebih lanjut tentang bagaimana operasi ini diduga berkembang selama enam bulan. Pada musim gugur 2025, individu yang mengaku sebagai perwakilan firma trading kuantitatif mendekati kontributor Drift di sebuah konferensi kripto besar. Mereka melanjutkan kontak secara langsung di acara-acara di beberapa negara, mendirikan grup Telegram, mendiskusikan strategi trading dan integrasi vault secara mendetail, bahkan mengaktifkan Ecosystem Vault mereka sendiri dengan deposit lebih dari $1 juta. Percakapan dan sumber daya yang dibagikan tampak rutin seperti layaknya mitra sah. Setelah peretasan, grup tersebut membersihkan riwayat Telegram dan perangkat lunak terkait apa pun.
Penyelidikan forensik mengarah pada tiga vektor potensial untuk kompromi kunci privat dalam serangan ini: satu kontributor mungkin meng-kloning repositori kode yang mengeksploitasi kerentanan VSCode atau Cursor yang diketahui, memungkinkan eksekusi kode arbitrer diam-diam; kontributor lain dibujuk untuk mengunduh aplikasi TestFlight yang dikemas sebagai produk dompet firma tersebut; dan vektor ketiga masih dalam tinjauan aktif penegak hukum. Dengan tingkat keyakinan menengah-tinggi, tim SEAL 911 mengaitkan upaya ini dengan pelaku yang sama afiliasi negara Korea Utara di balik peretasan Radiant Capital Oktober 2024. Selain itu, individu yang terlibat langsung bukan warga negara Korea Utara, melainkan perantara pihak ketiga—taktik yang konsisten dengan cara kerja DPRK.
The more I sit on this, the more I can’t help but think we’re dealing with a civil negligence issue.
Sorry for how long this rant will be in advance, but I’m just so angry.
Drift Protocol was handling hundreds of millions in user money. They knew crypto is full of hackers -… https://t.co/qhdzuII0gc— Ariel Givner (@GivnerAriel) April 5, 2026
Mengenai tanggung jawab tim Drift dalam insiden ini, beberapa pihak mempertanyakan mengapa protokol yang mengelola ratusan juta dolar mengizinkan pengunduhan aplikasi seperti dompet TestFlight yang tidak diverifikasi ke perangkat keras yang terikat dengan akses multi-tanda tangan. Yang lain menyoroti kurangnya kompartementalisasi yang ketat antara lingkungan pengembangan dan kunci penandatanganan, berargumen bahwa keamanan operasional dasar seharusnya mencegah pembobolan terlepas dari kecanggihan penyerang. “Semakin saya pikirkan, semakin saya yakin ini adalah masalah kelalaian sipil,” tulis pengacara kripto Ariel Givner di X.
Di sisi lain, peneliti keamanan telah memperingatkan bahwa kampanye intelijen sungguhan selama enam bulan dengan kaliber seperti ini mengindikasikan operasi serupa mungkin sudah berjalan menargetkan proyek-proyek lain. Tingkat kesabaran dan investasi sumber daya yang ditunjukkan mengimplikasikan bahwa pelaku tidak membatasi diri pada satu target saja.
Korea Utara telah mengandalkan pencurian kripto sebagai mekanisme pendanaan yang konsisten selama bertahun-tahun. Insiden besar sebelumnya mencakup penyedotan lebih dari $600 juta dari Ronin Network pada 2022 dan berbagai kompromi bursa. Pada 2025, peretas rezim tersebut mencatat rekor tahunan baru dengan mencuri $2,02 miliar, menurut laporan Chainalysis.
Kombinasi tipu muslihat, kolaborasi jarak jauh, dan taruhan finansial tinggi di dunia kripto menciptakan kondisi di mana grup-grup yang canggih dan bertekad bulat, termasuk agensi intelijen, dapat berinvestasi waktu berbulan-bulan untuk membangun kepercayaan sebelum menyerang. Dan ketika ratusan juta bahkan miliaran dolar berpotensi tersedia, para pelaku akan mengejar serangan dengan cara-cara yang ekstensif dan melelahkan. Data juga secara jelas menunjukkan bahwa penggunaan kripto untuk kejahatan sedang meningkat, seiring aliran dana ilegal dan serangan fisik terhadap pemegang kripto yang diketahui mencapai rekor tertinggi sepanjang masa tahun lalu.