Eksploitasi Drift Terkait dengan Upaya Infiltrasi Terkoordinasi

• Peretasan drift menguras $ 285 juta dalam 12 menit, tetapi operasi dibangun selama enam bulan.
• Penyerang menggunakan rekayasa sosial dan persetujuan multisig yang telah ditandatangani sebelumnya untuk serangan tersebut.
• Token palsu (CVT) digunakan sebagai jaminan setelah memanipulasi harga oracle dengan likuiditas minimal.

Drift Protocol telah merilis rincian rincian eksploitasi 1 April yang menguras dana pengguna $ 285 juta dan mengkonfirmasi serangan itu bukan bug sederhana tetapi operasi terkoordinasi jangka panjang.

Tim mengatakan eksploitasi itu adalah hasil dari infiltrasi yang ditargetkan selama berbulan-bulan, yang menggabungkan rekayasa sosial, eksploitasi teknis, dan aktivitas on-chain yang dipentaskan.

Infiltrasi Enam Bulan Menyebabkan Pelanggaran

Menurut Drift Protocol, serangan dimulai pada awal Musim Gugur 2025. Individu yang menyamar sebagai perusahaan perdagangan kuantitatif mendekati kontributor di beberapa konferensi kripto.

Mereka membangun kredibilitas dari waktu ke waktu dan mengadakan diskusi teknis, bergabung dengan sesi kerja, dan menyetorkan lebih dari $1 juta ke dalam protokol. Sebuah grup Telegram dibuat, dan interaksi berlanjut selama berbulan-bulan.

Pada awal 2026, mereka telah sepenuhnya berintegrasi ke dalam ekosistem Drift melalui strategi brankas. Kontributor telah bertemu langsung dengan mereka beberapa kali, dan kepercayaan terjalin, yang menjadi titik masuk.

Eksekusi serangan cepat, pengaturannya lambat

Eksploitasi sebenarnya memakan waktu sekitar 12 menit, tetapi persiapannya memakan waktu berminggu-minggu on-chain dan berbulan-bulan off-chain.

TRM Labs menemukan bahwa pementasan dimulai pada 11 Maret. Penyerang menggunakan Tornado Cash untuk mendanai operasi, menyebarkan token palsu yang disebut CarbonVote (CVT), dan membangun riwayat harga buatan melalui wash trading.

Pada saat yang sama, mereka menargetkan penandatangan multisig. Dengan menggunakan rekayasa sosial, mereka mendapatkan persetujuan atas transaksi yang tampak rutin tetapi berisi izin tersembunyi.

Pada 27 Maret, perubahan penting dilakukan. Drift memigrasikan Dewan Keamanannya ke pengaturan 2/5 dengan penguncian waktu nol dan menghapus lapisan penundaan yang dapat menghentikan serangan.

Pada 1 April, semuanya dieksekusi. Penyerang mendaftarkan CVT sebagai jaminan, menggelembungkan nilainya dengan memanipulasi data oracle, dan menarik aset riil seperti USDC dalam 31 transaksi. Dana dijembatani ke Ethereum dalam beberapa jam.

Poin Kelemahan Utama: Desain Multisig dan Oracle

Pelanggaran itu tidak bergantung pada cacat kontrak pintar. Itu mengeksploitasi kelemahan proses. Pertama, penanda tangan multisig menyetujui transaksi tanpa mendeteksi tindakan tersembunyi.

Kedua, penghapusan kunci waktu menghilangkan jendela pengaman. Ketiga, sistem oracle menerima aset palsu dengan likuiditas minimal sebagai jaminan yang sah.

Tinjauan internal Drift juga menunjukkan kemungkinan kompromi tingkat perangkat. Satu kontributor mungkin telah diekspos melalui repositori kode berbahaya. Yang lain mungkin telah menginstal aplikasi TestFlight yang disusupi yang disajikan sebagai dompet.

Kerentanan yang diketahui dalam alat pengembangan seperti VSCode mungkin memungkinkan eksekusi kode senyap.

Penting untuk dicatat bahwa Elliptic dan TRM Labs keduanya menandai pola yang terkait dengan operasi Korea Utara. Ini termasuk penggunaan Tornado Cash, waktu yang selaras dengan jam Pyongyang, dan pencucian lintas rantai yang cepat.

Drift mengatakan ada keyakinan menengah-tinggi bahwa kelompok yang sama di balik peretasan Radiant Capital Oktober 2024 terlibat. Kelompok ini telah dikaitkan dengan UNC4736, juga dikenal sebagai AppleJeus atau Citrine Sleet.

Terkait: Pelanggaran Protokol Drift Memicu Kerugian Hingga $285 Juta, Token Turun 42%