Ketika jutaan dolar dalam kripto dicuri dari protokol keuangan terdesentralisasi, pertanyaan sulit sering kali menyusul—dan eksploitasi Drift Protocol senilai $285 juta pada hari Rabu tidak berbeda.
Proyek berbasis Solana ini menjadi sorotan karena para peneliti dan ahli menelaah desainnya, menimbulkan pertanyaan apakah fitur atau prosedur desain tertentu dapat mencegah seseorang melakukan salah satu serangan DeFi paling menguntungkan dalam waktu dekat.
Dalam sebuah unggahan di X, Drift mengatakan seorang pelaku jahat memperoleh akses tidak sah ke platformnya melalui "serangan baru", yang memberikan kekuasaan administratif atas apa yang disebut dewan keamanan Drift. Mereka menambahkan bahwa serangan itu kemungkinan melibatkan tingkat "rekayasa sosial yang canggih".
Perampokan tersebut, yang merupakan salah satu yang terbesar dalam sejarah DeFi baru-baru ini, bergantung pada pengenalan aset digital palsu di bursa terdesentralisasi dan memodifikasi batas penarikan platform. Setelah menggelembungkan nilai token berbahaya, penyerang memperoleh kemampuan untuk dengan cepat menguras likuiditas riil dari Drift dengan menyalahgunakan mekanisme pinjaman.
Ada indikasi bahwa eksploitasi ini terkait dengan Republik Rakyat Demokratik Korea, kata firma intelijen blockchain Elliptic dalam sebuah laporan pada hari Kamis. Mereka menunjuk pada perilaku on-chain penyerang, metodologi pencucian uang, dan indikator tingkat jaringan.
Dengan simpanan pengguna yang terpengaruh—dan protokol dibekukan sebagai tindakan pencegahan—para pengamat juga fokus pada elemen inti desain Drift: dompet multisig, di mana tanda tangan yang dihasilkan oleh dua kunci pribadi memungkinkan penyerang memperoleh kekuatan luas.
Dompet multisig mewakili titik sentralisasi bagi banyak proyek DeFi, dan insiden ini mengekspos kenyataan tidak nyaman bahwa audit kontrak pintar hanya dapat mencegah sebagian kerusakan, menurut COO SVRN dan pakar keamanan blockchain David Schwed.
Ia mengatakan kepada Decrypt bahwa Drift telah menjadi contoh terbaru tentang bagaimana layanan yang berupaya menggantikan perantara keuangan dengan kode sering kali bergantung pada tim kecil dan titik sentralisasi seperti dompet multisig yang menimbulkan risiko keamanan siber.
“Semua insinyur saat ini berfokus pada sisi teknologi keamanan, mereka tidak berfokus pada orang-orang dalam prosesnya,” katanya. “Jadi ya, protokolnya terdesentralisasi, tetapi tata kelolanya tersentralisasi pada lima orang.”
Schwed membandingkan kelalaian keamanan Drift dengan salah satu peretasan DeFi paling terkenal, di mana lebih dari $625 juta aset digital dicuri oleh peretas yang terkait dengan Korea Utara pada tahun 2022. Mereka menargetkan Ronin, sidechain Ethereum yang dikembangkan untuk game NFT populer Axie Infinity. Serangan itu mengandalkan perolehan akses ke lima kunci pribadi, menurut firma keamanan blockchain Chainalysis.
Sementara analis blockchain melihat jejak negara-bangsa, yang lain berpendapat bahwa presisi serangan menunjukkan pengetahuan yang lebih mendalam tentang protokol tersebut. Schwed meragukan bahwa peretas yang terkait dengan Korea Utara terlibat dalam peretasan terhadap Drift karena rasanya penyerang, mungkin orang dalam, “tahu siapa yang harus ditargetkan.”
Para pengamat berspekulasi bahwa "pengunci waktu" (time lock) bisa mencegah eksploitasi terjadi begitu cepat. Fitur kontrak pintar ini membatasi eksekusi transaksi atau akses ke dana sampai waktu tertentu di masa depan tercapai, berpotensi memberikan waktu bagi tim Drift untuk campur tangan.
“Pengunci waktu berguna untuk mendapatkan waktu bereaksi terhadap serangan semacam itu, dan akan membantu di sini—tetapi itu bukan akar masalahnya,” kata Stefan Byer, managing partner di Oak Security, kepada Decrypt. “Masalah terbesar adalah—sekali lagi—kunci istimewa telah disusupi.”
Namun, Dan Hongfei, pendiri dan ketua Neo Blockchain, berpendapat bahwa protokol seperti Drift yang menyimpan dana jutaan dolar seharusnya tidak dapat langsung dikuras.
Dalam sebuah unggahan di X, ia mengatakan pengunci waktu yang terkait dengan tindakan kritis seperti daftar aset berisiko tinggi harus ditegakkan untuk “mencegah penyerang menyelesaikan seluruh rantai eksploitasi dalam hitungan detik.”
Sentimen ini digaungkan oleh Or Dadosh, pendiri penyedia infrastruktur keamanan kripto Venn Network. Ia juga menunjuk pada pemutus sirkuit otomatis, yang memungkinkan proyek untuk segera menghentikan operasi jika kecepatan aliran keluar atau ambang batas volume yang tidak normal dilanggar.
Beberapa pakar keamanan memperkirakan bahwa Drift tidak akan menjadi proyek DeFi terakhir yang mengalami eksploitasi seperti yang terjadi pada hari Rabu. Mereka mencatat bahwa pelaku jahat semakin beralih ke AI, menggunakan algoritma untuk mendapatkan pemahaman komprehensif tentang target mereka berikutnya.
“Kita telah mencapai tingkat di mana pelaku jahat dapat memalsukan suara ibumu di telepon,” kata Dadosh kepada Decrypt. “Kita hidup di era baru di mana serangan finansial dapat muncul di tempat dan format yang bahkan tidak bisa kita bayangkan setahun yang lalu.”
