Drift Kehilangan $285 Juta Akibat Serangan Social Engineering Nonce Terkait DPRK

Drift, sebuah bursa terdesentralisasi berbasis Solana, telah mengonfirmasi kehilangan sekitar $285 juta akibat insiden keamanan yang terjadi pada 1 April 2026. Serangan ini menggunakan metode social engineering berbasis durable nonce yang memungkinkan pengambilalihan kontrol administratif platform secara cepat.

Detail Serangan Social Engineering Durable Nonce

Dalam serangkaian unggahan di platform X, pihak Drift menjelaskan bahwa serangan ini merupakan aksi terorganisir yang melibatkan persiapan selama berminggu-minggu. Pelaku menggunakan akun durable nonce untuk melakukan pra-penandatanganan transaksi yang pelaksanaannya ditunda, sehingga memungkinkan mereka mendapatkan persetujuan transaksi tanpa sepengetahuan pihak Drift.

"Seorang aktor jahat memperoleh akses tidak sah ke Protokol Drift melalui serangan novel yang melibatkan durable nonce, sehingga mengakibatkan pengambilalihan cepat kewenangan administratif Dewan Keamanan Drift," ujar pihak perusahaan.

Menariknya, serangan ini tidak memanfaatkan celah pada kontrak pintar (smart contract) Drift maupun kebocoran seed phrase. Sebaliknya, pelaku mendapatkan persetujuan multisignature secara tidak sah atau dengan cara yang disalahartikan, kemungkinan besar melalui mekanisme durable nonce dan teknik social engineering yang canggih.

Metode dan Dampak Serangan

Pelaku berhasil mendapatkan persetujuan multisig yang cukup untuk melakukan transfer administratif berbahaya dalam hitungan menit dan menguasai hak protokol. Setelah itu, mereka memperkenalkan aset palsu bernama CarbonVote Token dan menghapus seluruh batasan penarikan dana yang sudah ditetapkan, sehingga dapat menguras dana yang tersimpan.

Berdasarkan kronologi yang dibagikan Drift, persiapan serangan sudah dimulai sejak 23 Maret 2026. Saat ini, Drift bekerja sama dengan berbagai perusahaan keamanan, jembatan lintas rantai (cross-chain bridges), bursa kripto, dan aparat penegak hukum untuk melacak dan membekukan aset yang dicuri.

Indikasi Keterkaitan dengan Kelompok Peretas DPRK

Menurut laporan dari The Hacker News, serta analisis dari perusahaan intelijen blockchain Elliptic dan TRM Labs, pola serangan ini mirip dengan aktivitas peretasan yang dikaitkan dengan kelompok peretas Korea Utara (DPRK).

• Penggunaan Tornado Cash sebagai tahap awal pencucian dana.
• Polanya melibatkan bridging lintas rantai dan pencucian dana yang cepat serta dalam skala besar.
• Pelaku sebelumnya diketahui melakukan serangan besar seperti peretasan Bybit 2025.

TRM Labs menambahkan bahwa "kerentanan kritis bukan berasal dari bug smart contract, melainkan kombinasi social engineering pada penandatangan multisig untuk pra-penandatanganan otorisasi tersembunyi dan migrasi Dewan Keamanan tanpa penundaan waktu yang menghilangkan garis pertahanan terakhir protokol."

Mereka juga menjelaskan bahwa aset palsu CarbonVote Token dibuat dengan nilai likuiditas hanya beberapa ribu dolar, namun melalui manipulasi pasar internal (wash trading), orakel Drift menganggapnya sebagai jaminan bernilai ratusan juta dolar. Token ini bahkan dikerahkan tepat pada pukul 09:30 waktu Pyongyang, yang menambah dugaan keterlibatan DPRK.

Skala dan Konteks Kampanye Peretasan DPRK

Elliptic menyebut bahwa jika konfirmasi keterlibatan DPRK benar, ini akan menjadi tindakan ke-18 yang mereka lacak sejak awal 2026 dengan total pencurian lebih dari $300 juta. Mereka menilai ini sebagai kelanjutan kampanye besar-besaran DPRK untuk pencurian aset kripto yang diduga digunakan untuk pembiayaan program senjata rezim tersebut.

Kampanye DPRK bukan insiden terpisah, melainkan operasi yang didukung negara dan terus berkembang secara skala dan kecanggihan. Tahun 2025, mereka diperkirakan berhasil mengantongi rekor pencurian sebesar $2 miliar, termasuk sekitar $1,46 miliar dari peretasan Bybit.

Metode utama yang dipakai oleh DPRK adalah social engineering yang menargetkan sektor kripto dan Web3 melalui kampanye seperti DangerousPassword (juga dikenal dengan nama CageyChameleon, CryptoMimic, dan CryptoCore) serta Contagious Interview, dengan total hasil sekitar $37,5 juta pada tahun ini saja.

Hubungan dengan Serangan Lain dan Ancaman Berkelanjutan

Perkembangan ini bertepatan dengan kompromi rantai pasokan paket npm populer Axios, yang diduga dilakukan oleh kelompok peretas DPRK bernama UNC1069. Kelompok ini juga dikenal dengan nama lain seperti BlueNoroff, CryptoCore, dan Nickel Gladstone, yang berfokus pada generasi dana untuk rezim Korea Utara melalui taktik peretasan yang canggih dan terkoordinasi.

Menurut Sophos, "Kelompok yang didukung negara ini fokus pada penghasilan untuk rezim Korea Utara. Bukti forensik termasuk metadata identik dan pola kendali perintah dan kontrol (C2), serta koneksi dengan malware yang hanya digunakan oleh Nickel Gladstone."

Analisis Redaksi

Menurut pandangan redaksi, insiden pencurian $285 juta yang menimpa Drift menunjukkan bahwa ancaman terhadap sektor kripto dan blockchain tidak hanya berasal dari celah teknis, tetapi juga dari serangan social engineering yang sangat canggih. Teknik pra-penandatanganan transaksi menggunakan durable nonce membuka celah baru yang perlu segera diantisipasi oleh seluruh ekosistem Web3.

Keterlibatan kelompok DPRK dalam serangan ini menegaskan kembali bahwa aktor negara-negara yang berkepentingan secara geopolitik semakin memanfaatkan teknologi blockchain untuk pendanaan aktivitas ilegal mereka. Hal ini menandakan perlunya peningkatan kerja sama internasional dan penegakan hukum lintas negara dalam menghadapi kejahatan siber yang semakin kompleks.

Ke depan, pelaku industri harus mengadopsi mekanisme keamanan multisig yang lebih ketat dan sistem pemantauan transaksi real-time yang canggih untuk mencegah skenario serupa. Selain itu, edukasi dan pelatihan tentang social engineering bagi pengelola protokol kripto wajib diperkuat agar tidak mudah terjebak manipulasi.

Perkembangan ini juga menunjukkan bagaimana teknologi AI dapat digunakan untuk menyempurnakan metode social engineering yang dipakai oleh peretas, sehingga mengancam tidak hanya bursa besar tetapi juga pengembang dan kontributor proyek blockchain secara individu. Oleh karena itu, kewaspadaan dan inovasi keamanan harus menjadi prioritas utama.

Untuk informasi lebih lanjut dan update terkini, ikuti terus berita dari sumber terpercaya dan pantau langkah mitigasi dari platform-platform kripto besar.