Drift Protocol pada hari Sabtu menerbitkan laporan paling rinci mereka mengenai eksploitasi pada 1 April yang menguras sekitar $280 juta dari bursa perpetual berbasis Solana, menjelaskan apa yang tim sebut sebagai "operasi intelijen terstruktur" yang membutuhkan waktu sekitar enam bulan untuk disiapkan.
Menurut pembaruan tersebut, kontak awal terjadi pada atau sekitar musim gugur 2025, ketika individu yang mengaku sebagai firma perdagangan kuantitatif mendekati kontributor Drift di konferensi kripto besar dan menyatakan minat untuk berintegrasi dengan protokol. Sebuah grup Telegram dibentuk pada pertemuan pertama itu, dan individu yang sama terus bertemu kontributor Drift secara tatap muka di acara industri di berbagai negara selama beberapa bulan berikutnya.
Antara Desember 2025 dan Januari 2026, kelompok tersebut mengintegrasikan Ecosystem Vault di Drift, mengisi formulir strategi standar, mengikuti beberapa sesi kerja dengan kontributor, dan menyetorkan lebih dari $1 juta dari modal mereka sendiri. Drift mengatakan perilaku tersebut konsisten dengan bagaimana firma perdagangan yang sah biasanya berintegrasi dengan protokol.
Tinjauan forensik terhadap perangkat yang terpengaruh dan riwayat komunikasi setelah eksploitasi menunjukkan bahwa hubungan tersebut adalah jalur intrusi yang mungkin. Drift mengatakan obrolan Telegram kelompok tersebut dan perangkat lunak berbahaya yang terkait dihapus pada saat serangan diluncurkan.
Penilaian awal Drift mengidentifikasi dua metode kompromi kandidat. Salah satu kontributor mungkin telah terinfeksi setelah mengkloning repositori kode yang dibagikan kelompok tersebut dengan dalih untuk menyebarkan frontend untuk vault mereka. Kontributor kedua didorong untuk menginstal versi beta aplikasi melalui build TestFlight Apple yang digambarkan kelompok tersebut sebagai produk dompet mereka.
Untuk jalur repositori, Drift menandai kerentanan VS Code dan Cursor yang telah diperingatkan secara publik oleh peneliti keamanan antara Desember 2025 dan Februari 2026, di mana hanya dengan membuka file, folder, atau repositori di editor dapat secara diam-diam mengeksekusi kode arbitrer tanpa prompt pengguna.
Eksploitasi itu sendiri, seperti yang dilaporkan The Block sebelumnya, tidak melibatkan bug smart contract. Drift menggambarkannya sebagai "serangan baru yang melibatkan nonces abadi", primitif Solana yang sah yang memungkinkan transaksi ditandatangani sebelumnya dan dieksekusi kemudian. Penyerang memperoleh persetujuan multisig di muka, kemungkinan melalui rekayasa sosial atau penyalahgunaan transaksi, kemudian menggunakan otorisasi yang ditandatangani sebelumnya untuk merebut kekuasaan administratif Dewan Keamanan dan menguras protokol dalam hitungan menit.
Drift mengatakan bahwa dengan dukungan tim SEAL 911, mereka menilai dengan "keyakinan sedang-tinggi" bahwa operasi tersebut dilakukan oleh aktor Korea Utara yang disponsori negara yang sama yang bertanggung jawab atas peretasan Radiant Capital senilai $50 juta pada Oktober 2024, yang oleh Mandiant dikaitkan dengan UNC4736, juga dikenal sebagai AppleJeus atau Citrine Sleet, sebuah kelompok peretas dengan ikatan pada Biro Umum Pengintaian negara tersebut.
Kaitan tersebut terletak pada tumpang tindih onchain dan operasional, menurut Drift. Aliran dana yang digunakan untuk mengatur dan menguji operasi Drift melacak kembali ke penyerang Radiant, dan persona yang digunakan di seluruh kampanye memiliki tumpang tindih yang dapat diidentifikasi dengan aktivitas terkait DPRK yang diketahui, kata Drift.
Khususnya, Drift menekankan bahwa individu yang muncul di konferensi secara langsung bukanlah warga negara Korea Utara. Aktor ancaman DPRK yang beroperasi pada tingkat ini diketahui mengerahkan perantara pihak ketiga untuk menangani pekerjaan pembangunan hubungan, kata protokol tersebut, dan profil yang digunakan dalam operasi ini memiliki riwayat pekerjaan lengkap, kredensial publik, dan jaringan profesional yang dirancang untuk bertahan dari due diligence pihak lawan.
Mandiant, yang telah dipekerjakan Drift untuk memimpin investigasi forensik, belum secara resmi mengatribusikan eksploitasi Drift. Penentuan tersebut menunggu forensik perangkat yang selesai.
Drift mengatakan semua fungsi protokol yang tersisa telah dibekukan, dompet yang disusupi telah dihapus dari multisig, dan alamat penyerang telah ditandai ke bursa dan operator jembatan. Penyelidik onchain ZachXBT secara terpisah mengkritik penerbit stablecoin Circle atas apa yang ia sebut sebagai tanggapan yang lambat, menuduh penyerang menjembatani sekitar 232 juta USDC dari Solana ke Ethereum melalui CCTP selama enam jam tanpa dana yang dibekukan.
Eksploitasi Drift adalah peretasan DeFi terbesar tahun 2026 hingga saat ini dan menempati peringkat sebagai insiden keamanan terbesar kedua dalam sejarah Solana setelah serangan jembatan Wormhole senilai $325 juta pada tahun 2022.
Drift mengapresiasi peneliti independen dan anggota SEAL 911 Taylor Monahan, tanuki42_, pcaversaccio, dan Nick Bax atas pekerjaan mereka dalam mengidentifikasi para pelaku, dan mendesak tim mana pun yang percaya bahwa mereka mungkin menjadi target kelompok yang sama untuk menghubungi SEAL 911 secara langsung.
"Sungguh, ini adalah serangan paling rumit dan tertarget yang pernah saya lihat dilakukan oleh DPRK di ruang kripto," tulis tanuki42_ di X, selain memperingatkan bahwa protokol lain mungkin juga menjadi target. "Merekrut banyak fasilitator dan kemudian meminta mereka menargetkan orang-orang tertentu secara langsung di acara kripto besar adalah taktik yang gila."
Disclaimer: The Block adalah outlet media independen yang menyajikan berita, riset, dan data. Per November 2023, Foresight Ventures adalah investor mayoritas The Block. Foresight Ventures berinvestasi di perusahaan lain di ruang kripto. Bursa kripto Bitget adalah LP jangkar untuk Foresight Ventures. The Block terus beroperasi secara independen untuk menyajikan informasi yang objektif, berdampak, dan tepat waktu tentang industri kripto. Berikut adalah pengungkapan keuangan kami saat ini.
© 2026 The Block. Semua Hak Dilindungi Undang-Undang. Artikel ini disediakan hanya untuk tujuan informasi. Ini tidak ditawarkan atau dimaksudkan untuk digunakan sebagai nasihat hukum, pajak, investasi, keuangan, atau nasihat lainnya.
