Peretasan Drift Protocol Senilai US$285 Juta Berawal Dari Jabat Tangan dan 6 Bulan Kepercayaan

Drift Protocol (DRIFT) menerbitkan update insiden secara rinci pada 5 April, mengungkap bahwa eksploitasi senilai US$285 juta pada 1 April berasal dari operasi intelijen selama enam bulan yang dilakukan oleh aktor siber yang didukung negara Korea Utara.

Pengungkapan ini menjelaskan adanya teknik rekayasa sosial yang jauh lebih canggih dibandingkan phishing atau penipuan berkedok perekrut pekerjaan pada umumnya, melibatkan pertemuan langsung, penempatan dana riil, dan pembangunan kepercayaan selama berbulan-bulan.

Perusahaan Trading Palsu yang Mainkan Permainan Jangka Panjang

Menurut Drift, sebuah kelompok yang mengaku sebagai perusahaan perdagangan kuantitatif pertama kali mendekati kontributor di konferensi aset kripto besar pada musim gugur 2025.

Selama beberapa bulan berikutnya, orang-orang ini hadir di banyak acara di berbagai negara, mengadakan sesi kerja, serta mempertahankan percakapan di Telegram seputar integrasi vault.

Ikuti kami di X untuk dapatkan berita terbaru secara langsung

Antara Desember 2025 hingga Januari 2026, kelompok ini mulai masuk dengan Vault Ekosistem di Drift, menempatkan dana lebih dari US$1 juta, dan ikut berdiskusi detail terkait produk.

Pada bulan Maret, kontributor Drift sudah bertemu langsung dengan individu-individu ini beberapa kali.

Bahkan pakar keamanan web menganggap hal ini mengkhawatirkan, dengan peneliti Tay berbagi bahwa awalnya ia mengira hanya penipuan berkedok perekrut pekerjaan biasa, namun ternyata operasi ini jauh lebih mengerikan.

Bagaimana Perangkat Tersebut Diretas

Drift mengidentifikasi tiga kemungkinan jalur serangan:

• Salah satu kontributor mengkloning repositori kode yang dibagikan kelompok ini untuk tampilan depan vault.
• Seorang lain mengunduh aplikasi TestFlight yang diperkenalkan sebagai produk wallet.
• Untuk vektor repositori, Drift menunjuk kerentanan pada VSCode dan Cursor yang sudah diwaspadai peneliti keamanan sejak akhir 2025.

Celah tersebut memungkinkan eksekusi kode tanpa suara langsung saat file atau folder dibuka di editor, tanpa butuh interaksi pengguna sama sekali.

Setelah dana terkuras pada 1 April, pelaku menghapus seluruh percakapan di Telegram dan perangkat lunak berbahaya. Drift kini telah membekukan semua fungsi protokol yang tersisa, serta mengeluarkan wallet yang telah dikompromikan dari multisig.

Tim SEALS 911 menilai dengan tingkat keyakinan menengah-tinggi bahwa aktor ancaman yang sama juga melakukan peretasan Radiant Capital pada Oktober 2024, yang Mandiant kaitkan dengan UNC4736.

Arus dana on-chain dan kesamaan operasional antara dua kampanye tersebut menguatkan dugaan tersebut.

Industri Serukan Reset Keamanan

Armani Ferrante, seorang pengembang Solana ternama, mengajak seluruh tim aset kripto untuk menghentikan sejenak upaya pertumbuhan dan mengaudit ulang semua keamanan mereka.

Drift juga menegaskan bahwa individu yang hadir secara langsung bukan warga negara Korea Utara. Aktor ancaman DPRK pada level ini memang sering memakai perantara pihak ketiga untuk interaksi tatap muka.

Mandiant, yang saat ini Drift libatkan untuk forensik perangkat, belum secara resmi mengaitkan eksploitasi ini.

Pengungkapan ini menjadi peringatan buat ekosistem secara luas. Drift mendorong tim untuk audit kendali akses, memperlakukan setiap perangkat yang berhubungan dengan multisig sebagai target potensial, dan segera hubungi SEAL 911 jika menduga mengalami serangan serupa.