Drift Protocol diserang peretas, mengalami kerugian sebesar $285 juta

Pada 1 April 2026, bursa kontrak perpetual terdesentralisasi di ekosistem Solana, Drift Protocol, mengalami serangan peretasan, dengan total aset yang dicuri sekitar 285 juta dolar AS. Penyerang memperoleh hak administrator dari dompet multisig protokol, mengosongkan aset dari beberapa kumpulan dana (USDC, SOL, cbBTC, WETH, dll.) dalam waktu satu jam, lalu memindahkannya lintas-rantai ke jaringan Ethereum untuk ditukar menjadi sekitar 129.000 ETH (senilai sekitar 278 juta dolar AS). Hingga 2 April 2026, dana yang dicuri telah didistribusikan dalam penyimpanan di 4 alamat Ethereum; nilai total terkunci (TVL) turun drastis dari 550 juta dolar AS menjadi sekitar 255 juta dolar AS. Kejadian ini menjadi insiden keamanan dengan kerugian tunggal terbesar di bidang DeFi pada tahun 2026.

Kronologi Serangan dan Jalur Teknis

Serangan ini tidak terjadi secara tiba-tiba, melainkan melalui periode persiapan sekitar delapan hari. Data on-chain menunjukkan bahwa alamat dompet penyerang, HkGz4K…, dibuat pada 24 Maret 2026. Penyerang memperoleh dana awal melalui sistem lintas-rantai NEAR Intents, lalu mengirimkan transaksi uji bernilai kecil (sekitar 2,52 dolar AS) ke Drift Vault untuk memverifikasi kontrol atas kontrak. Jendela serangan resmi dibuka pada 1 April pukul 16:00 UTC:

• Transaksi pertama mengalir keluar sekitar 41,7 juta token JLP dari brankas Drift (senilai sekitar 155,6 juta dolar AS).
• Sekitar 11 transaksi terkoordinasi berikutnya berhasil menarik USDC, SOL, cbBTC, wBTC, WETH, dll. secara bertahap dalam 60 menit, dengan total kumulatif sebesar 285 juta dolar AS.

Dari sisi jalur teknis, penyerang tidak memanfaatkan celah kode pada kontrak pintar, melainkan memperoleh hak administrator pada dompet multisig dan secara berurutan melakukan operasi berikut: menerbitkan token palsu CVT → memanipulasi harga oracle → menonaktifkan modul keamanan → menarik aset bernilai tinggi.

Celah Utama pada Mekanisme Multisig dan Ketiadaan Timelock

Penyebab langsung dari serangan ini adalah kelemahan keamanan dalam konfigurasi manajemen multisig pada protokol Drift. Laporan rekap dari lembaga keamanan SlowMist menyebutkan bahwa sekitar satu minggu sebelum serangan terjadi, Drift mengubah mekanisme multisig menjadi mode «2/5» (1 penandatangan lama ditambah 4 penandatangan baru), tetapi tidak menetapkan timelock apa pun (Timelock).

Timelock adalah mekanisme penundaan paksa yang mengharuskan perubahan konfigurasi berotoritas tinggi menunggu periode 24–48 jam agar dapat berlaku, sehingga memberikan jendela penyangga untuk deteksi anomali bagi komunitas dan lembaga keamanan. Ketiadaan timelock berarti begitu kunci privat penandatangan baru dicuri atau dikendalikan secara berbahaya, penyerang dapat segera mengeksekusi operasi tingkat administrator. Penyerang memanfaatkan penandatangan asli yang satu-satunya dalam multisig lama bersama penandatangan baru lainnya untuk menandatangani secara berkolaborasi, lalu memindahkan hak administrator ke alamat yang dikendalikan sendiri, sehingga mengabaikan semua perlindungan berbasis pengguna.

Logika Pencucian Dana Lintas-Rantai dan Konversi ke ETH

Setelah berhasil, penyerang memulai proses penanganan dana:

1. Pemindahan lintas-rantai: melalui protokol lintas-rantai seperti Wormhole, memindahkan aset multi-mata uang di rantai Solana ke jaringan Ethereum.
2. Penukaran terpusat: di bursa terdesentralisasi Ethereum, menukar seluruh aset seperti USDC, SOL, wBTC, dll. menjadi ETH.
3. Alamat didistribusikan: sekitar 129.000 ETH (senilai sekitar 278 juta dolar AS) disimpan secara terdistribusi pada 4 alamat Ethereum.

Logika memilih ETH sebagai aset akhir mencakup: likuiditas jaringan Ethereum tertinggi, sehingga memudahkan pencairan cepat; menyatukan gumpalan hasil kejahatan dari berbagai mata uang menjadi satu aset memutus jejak pelacakan on-chain dana asli; mendistribusikan alamat mengurangi risiko bahwa satu alamat tunggal dibekukan seluruhnya. Sebagian USDC dibekukan oleh penerbit di jaringan Ethereum, Circle, namun proporsinya terhadap total dana yang dicuri sangat rendah.

Dampak terhadap TVL Protokol Drift dan Ekosistem Solana

Dampak finansial langsung peristiwa ini terlihat dari data TVL. Berdasarkan statistik DeFiLlama:

Titik waktu (UTC)

TVL (dolar AS)

1 Apr 00:00

sekitar 550 juta

1 Apr 22:41

sekitar 255 juta

Pemotongan TVL menjadi separuh berarti ukuran kumpulan likuiditas mengecil, yang akan menyebabkan slippage transaksi meningkat, efisiensi dana menurun, sehingga pada akhirnya mengurangi volume transaksi protokol dan pendapatan biaya. Dari perspektif yang lebih makro terhadap ekosistem Solana, peristiwa ini adalah insiden keamanan DeFi skala terbesar di ekosistem tersebut sejak serangan jembatan Wormhole pada 2022 (senilai 326 juta dolar AS). Pada Januari hingga Maret 2026, 15 protokol DeFi mengalami total kerugian sekitar 137 juta dolar AS, sedangkan kerugian dari peristiwa tunggal Drift sekitar dua kali lipat jumlah tersebut. Selain itu, nilainya jauh melampaui rekor kerugian tunggal terbesar sebelumnya sebesar 27,3 juta dolar AS.

Peran Intervensi Penerbit Stablecoin dan Zona Abu-abu Regulasi

Respons cepat penerbit stablecoin Circle memicu diskusi industri. Setelah serangan terjadi, sebagian USDC dibekukan di jaringan Ethereum oleh Circle, tetapi banyak USDC yang dipindahkan melalui jembatan lintas-rantai tidak segera dicegat karena tidak melalui alamat kustodian langsung Circle. Analis on-chain ZachXBT mengajukan kritik, dengan menyatakan bahwa Circle memiliki keterlambatan respons pada mekanisme pembekuan untuk USDC lintas-rantai.

Kontroversi ini mengungkap zona abu-abu regulasi dalam insiden keamanan DeFi: kewajiban intervensi proaktif penerbit stablecoin dalam lingkungan lintas-rantai tidak memiliki kerangka hukum yang jelas dan konsensus industri. Saat ini, penerbit seperti Circle hanya dapat membekukan USDC yang berada di rantai asalnya (Ethereum) yang dikendalikan oleh alamat kustodian langsung Circle. Untuk «USDC yang dijembatani» yang dihasilkan melalui jembatan lintas-rantai pihak ketiga seperti Wormhole atau aset terenkapsulasi setelah lintas-rantai, penerbit tidak memiliki hak pembekuan langsung. Kasus ini berpotensi mendorong regulator untuk mengajukan persyaratan yang lebih spesifik terkait kewajiban respons risiko penerbit stablecoin.

Penutup

Kontradiksi struktural inti pada peristiwa serangan Drift terletak pada: di sisi pengguna, protokol DeFi memasarkan diri sebagai tidak kustodi dan tanpa kebutuhan rasa percaya, tetapi pada level manajemen biasanya menyimpan hak administrator yang sangat terpusat (sering disebut «kunci Tuhan»). Setelah penyerang memperoleh hak administrator, ia mampu melakukan tiga operasi berbahaya tingkat tinggi dalam satu transaksi: membuat pasar palsu, memanipulasi harga oracle, dan mencabut batasan penarikan. Ini menunjukkan protokol kekurangan mekanisme validasi berlapis, ambang batas penundaan operasi, serta kondisi pemicu manajemen risiko real-time.

Perlu dicatat bahwa pada versi v1 protokol Drift di tahun 2022, protokol pernah kehilangan 14,5 juta dolar AS akibat masalah wewenang manajemen serupa. Tim kemudian melakukan kompensasi penuh dan menerbitkan analisis teknis setelahnya. Empat tahun kemudian, masalah dengan pola yang sama muncul kembali dalam skala yang lebih besar, menandakan bahwa meskipun ada proses peninjauan ulang dan iterasi, risiko pemusatan wewenang dalam arsitektur keamanan inti belum benar-benar diselesaikan.

FAQ

T: Apakah 285 juta dolar AS yang dicuri dari Drift Protocol mungkin bisa dikembalikan?

Hingga 2 April 2026, dana yang dicuri telah dipindahkan lintas-rantai ke jaringan Ethereum, ditukar menjadi ETH, dan didistribusikan ke 4 alamat. Tingkat pengembalian dana secara keseluruhan untuk insiden keamanan DeFi tahun 2026 kurang dari 7% (dari 137 juta dolar AS, hanya 9 juta dolar AS yang berhasil dipulihkan). Karena penyerang menggunakan jalur pencucian dana lintas-alamat yang sudah matang dan rute pencucian lintas-rantai, kelayakan penelusuran teknis untuk pemulihan sangat rendah.

T: Apakah serangan ini memengaruhi keamanan protokol DeFi ekosistem Solana lainnya?

Serangan ini berasal dari celah spesifik protokol Drift pada konfigurasi multisig dan mekanisme timelock, bukan merupakan cacat sistemik pada blockchain dasar Solana atau standar kontrak pintar umum. Namun, peristiwa ini akan secara signifikan memperbesar upaya auditor dan pengguna untuk meninjau ulang konfigurasi hak manajemen pada protokol DeFi lain di ekosistem Solana, yang mungkin memicu redistribusi ulang TVL lintas-protokol dalam jangka pendek.

T: Bagaimana pengembang protokol dapat mencegah serangan hak administrator serupa?

Standar keamanan industri merekomendasikan tiga langkah inti: pertama, tetapkan timelock minimal 24 jam untuk semua perubahan konfigurasi berotoritas tinggi, serta lengkapi dengan pemantauan otomatis dan peringatan; kedua, gunakan skema multisig dengan ambang minimal 4/7 atau lebih tinggi, di mana kunci privat penandatangan harus disimpan di modul keamanan perangkat keras (HSM) dan dipisahkan secara fisik; ketiga, terapkan modul manajemen risiko on-chain secara real-time—ketika sebuah transaksi tunggal melibatkan operasi administrator dan jumlahnya melebihi ambang batas yang ditetapkan, modul akan memicu eksekusi tertunda serta proses verifikasi komunitas secara otomatis.