Apa yang awalnya tampak sebagai eksploitasi mendadak kini terungkap sebagai operasi jangka panjang yang sangat terkoordinasi. Drift Protocol telah mengungkapkan bahwa peretasan senilai $270 juta merupakan hasil dari kampanye infiltrasi selama enam bulan, yang diduga terkait dengan aktor yang terhubung dengan negara Korea Utara.
Alih-alih mengeksploitasi kerentanan sederhana, para penyerang membangun kepercayaan secara perlahan, menyamar sebagai perusahaan perdagangan kuantitatif yang sah dan menanamkan diri mereka dalam ekosistem. Pendekatan mereka melampaui penipuan digital. Mereka terlibat langsung dengan kontributor, menghadiri konferensi kripto, dan membangun hubungan yang tampak kredibel di setiap tingkat.
Ini bukan serangan cepat. Serangan ini diperhitungkan, sabar, dan dirancang untuk melewati tidak hanya pertahanan teknis tetapi juga kepercayaan manusia.
Kontak Pertama Dimulai Di Konferensi Kripto
Operasi ini dilaporkan dimulai pada musim gugur 2025, ketika para penyerang melakukan kontak pertama di konferensi kripto besar. Pada saat itu, tidak ada tanda bahaya langsung. Kelompok tersebut mempresentasikan diri mereka sebagai profesional yang mahir secara teknis dengan latar belakang yang dapat diverifikasi.
Mereka berbicara bahasa DeFi dengan lancar, menunjukkan pemahaman mendalam tentang infrastruktur dan mekanisme perdagangan Drift. Tingkat keahlian ini membantu mereka berbaur dengan mulus dengan kontributor dan mitra yang sah.
Segera setelah itu, komunikasi beralih ke Telegram, di mana diskusi berlanjut selama beberapa bulan. Interaksi ini tidak terburu-buru atau mencurigakan. Sebaliknya, mereka mencerminkan irama kolaborasi nyata, lengkap dengan diskusi teknis, masukan strategis, dan keterlibatan berkelanjutan.
Dengan mempertahankan konsistensi dan kredibilitas, para penyerang secara bertahap membangun kepercayaan dalam komunitas.
Membangun Kepercayaan Melalui Modal Dan Kolaborasi
Pada Januari 2026, kelompok tersebut telah mengambil keterlibatan mereka lebih jauh. Mereka berhasil mengintegrasikan Ecosystem Vault dan mulai berpartisipasi dalam sesi kerja bersama kontributor Drift.
Yang sangat penting, mereka juga melakukan komitmen modal nyata, menyetor lebih dari $1 juta dana mereka sendiri ke dalam protokol. Langkah ini memperkuat legitimasi mereka, menandakan bahwa mereka memiliki kepentingan dalam permainan.
Sepanjang Februari dan Maret, anggota ekosistem Drift bertemu individu-individu ini secara langsung di berbagai negara. Interaksi tatap muka ini menambah lapisan kepercayaan lain, membuat kemungkinan niat mereka dipertanyakan semakin kecil.
Pada saat serangan dieksekusi, hubungan antara para penyerang dan komunitas telah terjalin selama hampir enam bulan. Ini adalah tingkat infiltrasi yang jarang terlihat dalam eksploitasi DeFi.
Eksekusi Serangan Memanfaatkan Titik Masuk Yang Canggih
Ketika kompromi akhirnya terjadi, itu datang melalui dua vektor yang sangat ditargetkan.
Yang pertama melibatkan aplikasi TestFlight berbahaya, yang disajikan sebagai produk dompet yang sah. Ini memungkinkan para penyerang mendapatkan akses ke perangkat kontributor dengan kedok menguji alat baru.
Vektor kedua mengeksploitasi kerentanan yang diketahui di lingkungan pengembangan seperti VSCode dan Cursor. Kelemahan ini, yang ditandai oleh komunitas keamanan beberapa bulan sebelumnya, memungkinkan eksekusi kode arbitrer hanya dengan membuka file.
Bersama-sama, metode ini memungkinkan para penyerang mengompromikan perangkat kunci tanpa memicu kecurigaan langsung. Setelah masuk, mereka dapat mengakses alur kerja sensitif dan mekanisme persetujuan.
Tahap operasi ini menyoroti pergeseran kritis dalam strategi serangan. Alih-alih menargetkan kontrak pintar secara langsung, para penyerang semakin fokus pada lapisan manusia dan alat di sekitarnya.
Kelemahan Multisig Terungkap Dalam Pengurasan Akhir
Dengan akses terjamin, para penyerang beralih ke fase akhir: eksekusi.
Mereka memperoleh dua persetujuan multisig, yang kemudian digunakan untuk mengotorisasi transaksi. Yang patut dicatat, transaksi ini telah ditandatangani sebelumnya dan dibiarkan tidak aktif selama lebih dari seminggu, menghindari deteksi langsung.
Pada 1 April, para penyerang bertindak. Dalam waktu kurang dari satu menit, sekitar $270 juta dikuras dari brankas Drift.
Kecepatan dan presisi eksekusi tidak memberi banyak ruang untuk intervensi. Pada saat transaksi dikenali, dana telah dipindahkan.
Drift sejak itu memperingatkan bahwa insiden ini mengekspos kelemahan mendasar dalam model keamanan berbasis multisig. Meskipun sistem multisig dirancang untuk mendistribusikan kepercayaan, mereka tetap rentan ketika penandatangan sendiri dikompromikan.
Kaitan Dengan Aktor Negara Korea Utara Terungkap
Investigasi terhadap serangan tersebut telah mengaitkan operasi dengan UNC4736, sebuah kelompok yang juga dikenal sebagai AppleJeus atau Citrine Sleet. Entitas ini secara luas dikaitkan dengan operasi siber Korea Utara dan telah terhubung dengan eksploitasi profil tinggi sebelumnya, termasuk serangan Radiant Capital.
Menariknya, individu yang berinteraksi langsung dengan kontributor Drift tidak diidentifikasi sebagai warga negara Korea Utara. Sebaliknya, mereka tampaknya adalah perantara pihak ketiga, yang dilengkapi dengan identitas yang dibangun dengan hati-hati yang dirancang untuk tahan pengawasan.
Pendekatan berlapis ini membuat atribusi lebih kompleks sambil meningkatkan efektivitas operasi. Dengan memisahkan aktor di lapangan dari entitas pengkoordinasi, para penyerang dapat mempertahankan legitimasi yang masuk akal sepanjang infiltrasi.
Panggilan Bangun Untuk Model Keamanan DeFi
Eksploitasi Drift memaksa industri untuk menghadapi realitas yang tidak nyaman. Model keamanan tradisional, yang berfokus pada audit kode, kerentanan kontrak pintar, dan perlindungan multisig, mungkin tidak cukup untuk bertahan melawan musuh yang bersedia menginvestasikan waktu, uang, dan sumber daya manusia.
Jika para penyerang dapat menghabiskan enam bulan membangun hubungan, menggunakan modal untuk mendapatkan kepercayaan, dan bertemu secara fisik dengan tim, permukaan serangan meluas jauh melampaui kode.
Ini menimbulkan pertanyaan kritis untuk ekosistem DeFi: jenis kerangka keamanan apa yang dapat mendeteksi dan mencegah tingkat infiltrasi ini?
Untuk saat ini, insiden ini merupakan salah satu eksploitasi yang didorong oleh rekayasa sosial paling canggih dalam sejarah kripto. Ini menggarisbawahi kebutuhan akan pendekatan keamanan yang lebih holistik, yang memperhitungkan perilaku manusia, proses operasional, dan garis yang semakin kabur antara interaksi online dan offline.
Seiring protokol terus tumbuh dan menarik lebih banyak modal, taruhannya hanya akan meningkat. Dan seperti yang ditunjukkan kasus ini, generasi berikutnya dari serangan mungkin tidak datang dari dompet anonim, tetapi dari mitra tepercaya yang duduk di seberang meja.
Pengungkapan: Ini bukan saran perdagangan atau investasi. Selalu lakukan riset Anda sendiri sebelum membeli cryptocurrency apa pun atau berinvestasi dalam layanan apa pun.
Ikuti kami di Twitter @nulltxnews untuk tetap diperbarui dengan berita terbaru Crypto, NFT, AI, Cybersecurity, Distributed Computing, dan Metaverse!
Sumber: https://nulltx.com/north-korea-linked-group-behind-270m-drift-hack-six-month-plot-revealed/
