Drift“April Mop” lebih dari 280M dolar AS dicuri: peretasan atau pencurian internal?

Shaw，Jinse Caijing

2 April, platform perdagangan derivatif Drift Protocol mengalami insiden keamanan, dan data di rantai menunjukkan kerugian lebih dari 285 juta dolar AS. Pihak proyek menyatakan telah menemukan aktivitas yang tidak wajar dan sedang menyelidiki, mengingatkan pengguna agar sementara tidak menyetor dana ke protokol, serta menegaskan, “ini bukan lelucon April Mop”.

Serangan kali ini melibatkan beberapa pool dana, termasuk JLP Delta Neutral, SOL Super Staking, dan BTC Super Staking, dll. Satu transaksi memindahkan sekitar 41,7 juta token JLP senilai sekitar 155 juta dolar AS; selain itu aset seperti SOL, USDC, cbBTC, dan wBTC juga ikut dikeluarkan.

Menurut statistik, insiden ini mungkin menjadi salah satu serangan DeFi terbesar di ekosistem Solana setelah Wormhole bridge exploit, dengan skala yang terbesar kedua.

I. Perkembangan terbaru insiden Drift Protocol yang diserang

Pada 1 April 2026 (waktu AS bagian Timur), protokol derivatif terdesentralisasi Drift Protocol di ekosistem Solana mengalami serangan peretasan besar. Aset yang dicuri sekitar 285 juta dolar AS, dengan aset inti yang dicuri terutama: sekitar 41,7 juta token JLP, senilai 155,6 juta dolar AS; serta berbagai aset seperti USDC, SOL, cbBTC, dan wBTC. Insiden pencurian ini menjadi salah satu kejadian serangan terbesar kedua dalam sejarah Solana dan juga yang berskala terbesar dalam sejarah DeFi.

Setelah itu, pihak resmi Drift Protocol memposting di platform sosial untuk mengonfirmasi: “Drift Protocol sedang diserang. Fitur setoran dan penarikan telah dihentikan. Kami sedang bekerja sama dengan beberapa lembaga keamanan, jembatan lintas rantai, dan bursa untuk sepenuhnya mengendalikan situasi. Ini bukan lelucon April Mop. Informasi lebih lanjut akan kami rilis secepatnya melalui akun ini.”

Serangan ini dimulai sejak dini hari 2 April. Platform pemantauan on-chain PeckShield mengeluarkan peringatan: alamat main vault Drift mulai melakukan pemindahan besar-besaran ke sebuah dompet baru yang baru dibuat bernama HkGz4K. Pengalihan tahap awal terutama adalah token JLP (Jito Liquidity Provider) senilai sekitar 155 juta dolar AS; kemudian menyusul USDC, SOL, cbBTC, wBTC, WETH, serta sebagian koin meme. Data PeckShield menunjukkan bahwa dalam waktu singkat, total aset yang keluar mencapai 285 juta dolar AS.

Berdasarkan pemantauan Yu Jin, aset 285 juta dolar AS yang dicuri oleh Drift saat ini sudah ditukar menjadi 129k ETH (278 juta dolar AS). Dalam beberapa jam terakhir, peretas menjual aset-aset tersebut melalui berbagai cara dan melakukan perpindahan lintas rantai ke jaringan Ethereum, lalu membeli ETH di jaringan Ethereum. Saat ini, aset senilai 285 juta dolar AS yang dicuri di Solana sudah dibelikan menjadi 129,066 ETH di jaringan Ethereum.

Selain itu, tim keamanan SlowMist memposting di media sosial yang menyatakan bahwa saat ini dana yang dicuri sudah terkonsentrasi ke alamat Ethereum berikut: 0x0fe3b6908318b1f630daa5b31b49a15fc5f6b674, 0xd3feed5da83d8e8c449d6cb96ff1eb06ed1cf6c7, 0xaa843ed65c1f061f111b5289169731351c5e57c1, total: 105,969 ETH (sekitar 226 juta dolar AS).

Kumpulan alamat peretas：

II. Interpretasi serangan Drift Protocol, pihak proyek “mencuri dari dalam”?

Serangan ini adalah kombinasi yang direncanakan matang dari invasi otorisasi + manipulasi harga. Intinya adalah peretas mencuri otorisasi administrator, lalu dengan memalsukan token dan memanipulasi oracle, berhasil menembus batas limit dana seketika, merampok brankas protokol. Peretas, setelah memperoleh kunci privat administrator, menonaktifkan kontrol risiko inti protokol (limit penarikan), lalu menggunakan agunan palsu untuk menarik dana secara massal dari pool dana, dan menyelesaikan pencucian uang melalui pemindahan aset lintas rantai.

Terkait insiden Drift Protocol yang menyebabkan aset dicuri, pendiri SlowMist, Yu Xian, memposting analisis yang menyatakan bahwa seminggu sebelum serangan terjadi, Drift mengubah mekanisme multisig menjadi “2/5” (1 penandatangan lama + 4 penandatangan baru), dan tidak menetapkan time lock (timelock). Setelah itu, penyerang memperoleh otorisasi administrator, memalsukan token CVT, memanipulasi oracle, menonaktifkan mekanisme keamanan, dan mentransfer aset bernilai tinggi dari pool dana.

Omer Goldberg, co-founder Chaos Labs, juga memposting di media sosial yang menyatakan bahwa, seminggu sebelumnya, Drift bermigrasi ke dompet multisig baru yang dibuat oleh salah satu penandatangan dari multisig lama. Dan penandatangan ini tidak menambahkan dirinya sendiri ke daftar multisig baru. Penyerang juga mengajukan proposal di multisig lama untuk memindahkan otorisasi administrator ke dompet baru tersebut. Multisig baru berisi 5 penandatangan, hanya 1 orang berasal dari tim lama, sedangkan 4 lainnya adalah alamat yang sepenuhnya baru. Dompet tersebut diatur dengan ambang multisig 2/5, serta tanpa time lock apa pun (penundaan 0 detik). Pada dini hari 2 April, penandatangan lama yang satu-satunya mengajukan proposal melalui multisig baru untuk mengubah otorisasi administrator Drift. Salah satu penandatangan baru ikut menandatangani dalam waktu 1 detik, sehingga ambang 2/5 terpenuhi seketika. Karena tidak ada time lock, transaksi langsung dieksekusi.

Selain itu, beredar kabar di komunitas bahwa anggota inti tim Drift telah keluar dari pekerjaan sebulan sebelumnya, tetapi itu bukan fakta yang dikonfirmasi secara resmi; tidak ada bukti yang mendukung. Saat ini hanya merupakan dugaan/kabar rumor yang beredar di komunitas X (Twitter), tanpa nama orang yang spesifik. Tidak ada konfirmasi dari media arus utama atau dari pihak resmi Drift. Dalam berita arus utama dan pernyataan resmi Drift, sama sekali tidak ada disebutkan bahwa ada anggota tim yang keluar satu bulan sebelumnya.

Meski demikian, kemungkinan “mencuri dari dalam” memang merupakan arah yang paling banyak dibicarakan di lingkaran saat ini dan juga paling penuh keraguan—bahkan lebih masuk akal dibanding “peretasan dari luar”. Sebelumnya, pihak resmi mengubah mekanisme multisig sehingga struktur izin menjadi terlalu “mudah diserang”, tidak seperti skenario yang tidak disengaja; metode serangannya “terlalu paham logika internal”, sama sekali tidak seperti gaya peretas eksternal; dan respons pihak resmi terhadap pencurian aset senilai sangat besar juga terasa sangat tenang. Setelah aset dicuri, arus dana sangat bersih dan jelas, dengan cepat ditukar menjadi ETH dan dilakukan operasi lintas rantai, serta tidak ada dana yang mengalir ke bursa terpusat yang mudah dibekukan. Serangkaian proses dan logika operasi inilah yang membuat komunitas makin yakin dengan dugaan “mencuri dari dalam” terhadap pihak resmi Drift, sehingga kecurigaan tersebut makin ramai.

III. Pihak terkait dan reaksi komunitas kripto

Setelah insiden pencurian aset Drift Protocol terjadi, respons pihak terkait dan komunitas kripto terhadapnya beragam:

• Dalam insiden pencurian protokol DeFi Drift, kerugian posisi JLP sekitar 155,6 juta dolar AS. Menanggapi hal ini, pihak Jupiter resmi menyatakan bahwa platform tidak terdampak oleh insiden ini; produk pinjaman mereka Jupiter Lend tidak terpapar pada pasar Drift, dan aset JLP “sepenuhnya didukung oleh aset dasar”. Jupiter juga menyatakan bahwa insiden ini adalah “hari yang sulit” bagi ekosistem Solana DeFi, dan menyampaikan keprihatinan kepada tim Drift serta pengguna yang terdampak.

• Protokol pembangkit pendapatan Unitas Protocol memposting di X yang menyatakan bahwa pihaknya tidak terdampak oleh insiden serangan Drift Protocol. Unitas di Drift tidak memiliki eksposur apa pun. Seluruh agunan aman, semua strategi (termasuk strategi JLP delta netral) berjalan normal. Dana pengguna aman. Agunan dapat diverifikasi secara real-time melalui dasbor bukti cadangan dari Accountable dan Primus Labs.

• Protokol likuiditas Solana Meteora memposting di X yang menyatakan bahwa seluruh dana di Meteora aman; semua fungsi platform dan brankasnya tidak berinteraksi dengan protokol Drift.

• Pendiri infrastruktur stablecoin Perena, Anna memposting di X yang menyatakan bahwa Perena USD*, USD*-J, dan USD*-P tidak terdampak oleh insiden serangan Drift. Namun, brankas JLP dari platform berbagi strategi kuantifikasi di ekosistem Solana, Neutral Trade, terdampak karena berjalan di atas Drift Protocol; tim sedang menjaga komunikasi dengan mitra dan akan terus memperbarui perkembangan.

• Pengguna platform X @hzkj99：Aset di protokol Drift Protocol di ekosistem SOL dicuri, kerugian bernilai lebih dari ratusan juta dolar; selama melibatkan dana, kapan pun keamanan adalah prioritas utama—terutama di pasar beruang, pasti akan ada protokol baru yang dicuri. Dunia ini memang seperti panggung sandiwara besar; beberapa protokol bahkan bisa dicuri berkali-kali, dan Drift pun bukan yang terakhir dicuri

• Pengguna platform X @lanhubiji：Drift Protocol mengalami pemanfaatan celah besar, kerugian sekitar level 270 juta dolar AS, salah satu dari insiden serangan DeFi terbesar pada tahun 2026 hingga saat ini. Ada postingan yang secara serius berkata, “Yayasan Solana sedang berkoordinasi dengan server di ruang bawah tanah Toly (co-founder) untuk melakukan rollback”. Walaupun ini lelucon, cara mengatakannya agak keterlaluan.

• Pengguna platform X @EnHeng456：Benar-benar perlu hati-hati menyimpan uang saat pasar beruang, karena lingkungan sekarang makin tidak aman; di mana-mana ada kabar pencurian. Beberapa protokol lama juga khusus bermasalah saat pasar beruang; kamu benar-benar sulit membedakan apakah itu serangan peretas atau “mencuri dari dalam”. Saya juga baru-baru ini makin konservatif: hanya menaruhnya dengan tenang di USD1, tidak berani menaruh sembarangan lagi. Dengan situasi seperti ini, semakin sering bermain-main semakin mudah timbul masalah. Kadang tidak bergerak justru pilihan terbaik. Drift dicuri dua ratus juta dolar dan uangnya masuk ke kantong sang jenderal.

IV. Dampak insiden pencurian Drift Protocol

Insiden pencurian Drift Protocol senilai 285 juta dolar AS adalah serangan DeFi terbesar kedua dalam sejarah ekosistem Solana. Dampaknya jauh melampaui protokol itu sendiri, menghantam kepercayaan ekosistem Solana secara serius, dan mempercepat perubahan keamanan DeFi.

Serangan ini mengungkap cacat fatal DeFi dalam manajemen izin multisig dan keamanan oracle. “Otoritas adalah brankas”, begitu kunci administrator jatuh dan tidak ada mekanisme pengereman darurat seperti time lock, logika kode yang kompleks apa pun bisa langsung menjadi tidak berfungsi. Bagi Drift Protocol, kecuali dana besar berhasil dipulihkan atau ada “orang besar” yang mengambil alih, maka akan menuju likuidasi, kebangkrutan, dan tuntutan hukum. Bagi Solana dan ekosistemnya, reputasi ekosistem hancur, arus dana keluar dalam jangka pendek dan pertumbuhan melambat; dalam jangka panjang, hal ini memaksa peningkatan keamanan. Sedangkan bagi seluruh industri DeFi, bisa dibilang ini adalah titik belok bagi industri: “keamanan otorisasi lebih penting daripada keamanan kode” menjadi aturan mutlak; biaya kepercayaan meningkat tajam; DeFi akan memasuki tahap baru yang lebih patuh (compliance), lebih transparan, dan lebih terpusat kekuasaan (tata kelola keamanan).