Elliptic Menghubungkan Eksploit Penipuan Drift Protokol Senilai $286 Juta ke Peretas Korea Utara

Perusahaan analitik blockchain Elliptic melaporkan pada 2 April 2026 bahwa eksploit senilai $286 juta pada Drift Protocol berbasis Solana memiliki beberapa indikator keterlibatan dari kelompok peretas DPRK yang disponsori negara Korea Utara, yang menandai apa yang akan menjadi serangan kedelapan belas yang dilacak Elliptic tahun ini.

Eksploit pada 1 April, peretasan DeFi terbesar sepanjang 2026 hingga saat ini, membuat total nilai terkunci (total value locked) Drift anjlok dari sekitar $550 juta menjadi di bawah $250 juta, dengan perilaku on-chain, metodologi pencucian (laundering), dan sinyal tingkat jaringan yang meniru operasi-operasi terkait negara sebelumnya.

Elliptic Mengidentifikasi Perilaku On-Chain yang Disiapkan dan Pola Pencucian Lintas-Rantai

Analisis Elliptic mengarah pada aktivitas yang tampak “direncanakan dan ditata dengan cermat,” dengan transaksi uji awal dan dompet yang sudah diposisikan sebelumnya sebelum kejadian utama. Dompet penyerang dibuat sekitar delapan hari sebelum eksploit dan menerima transfer uji kecil dari brankas (vault) Drift selama periode tersebut, yang menunjukkan adanya perencanaan sebelumnya.

（Sumber: Elliptic Investigator）

Setelah dijalankan, dana dengan cepat dikonsolidasikan dan ditukar, dijembatani lintas rantai, serta dikonversi menjadi aset yang lebih likuid, yang mencerminkan alur pencucian yang terstruktur dan dapat diulang untuk menyamarkan asal dana sekaligus mempertahankan kendali. Penyerang menguras tiga brankas utama: brankas JLP Delta Neutral, SOL Super Staking, dan BTC Super Staking. Transfer tunggal terbesar melibatkan sekitar 41,7 juta token JLP, senilai kira-kira $155 juta pada saat pencurian. Aset tambahan yang dicuri termasuk USDC, SOL, cbBTC, wBTC, dan token staking likuid.

Dalam waktu satu jam sejak serangan dimulai, penyerang secara sistematis menguras sebagian besar likuiditas Drift dengan menarik aset dari beberapa brankas protokol. Menurut perusahaan keamanan blockchain PeckShield, penyebab awal tampaknya adalah kompromi kunci privat administrator protokol, yang memberi penyerang akses istimewa untuk memulai penarikan dan mengubah kontrol administratif.

Model Akun Solana Mempersulit Investigasi Eksploit Berbasis Multi-Aset

Elliptic mencatat bahwa model akun Solana menghadirkan tantangan utama bagi para penyelidik. Karena setiap aset disimpan dalam akun token yang terpisah, aktivitas yang terkait dengan satu aktor dapat terlihat terpecah di banyak alamat. Penyerang menguras lebih dari 15 jenis token di beberapa brankas, yang berarti JLP, USDC, SOL, cbBTC, dan aset curian lainnya milik penyerang masing-masing berada pada alamat on-chain yang berbeda.

Penyedia analitik yang memperlakukan alamat-alamat ini sebagai tidak terkait akan melihat potongan aktivitas penyerang, bukan gambaran lengkapnya. Pendekatan pengelompokan (clustering) Elliptic menghubungkan akun token kembali ke satu entitas, sehingga paparan (exposure) dapat diidentifikasi terlepas dari alamat mana pun yang diperiksa. Kasus ini juga menekankan bahwa pencucian telah menjadi lintas-rantai secara inheren, dengan dana berpindah dari Solana ke Ethereum dan seterusnya, sehingga memerlukan kemampuan pelacakan lintas-rantai yang menyeluruh.

Pencurian Kripto yang Dikaitkan dengan DPRK Meningkat Saat Elliptic Melacak $300 Juta yang Dicuri pada 2026

Jika dikonfirmasi, insiden ini akan menjadi aksi kedelapan belas yang terkait DPRK yang telah dilacak Elliptic pada 2026, dengan lebih dari $300 juta dicuri sejauh ini. Aktor yang terkait DPRK diyakini telah mencuri lebih dari $6,5 miliar aset kripto dalam beberapa tahun terakhir. Pemerintah AS telah mengaitkan pencurian- pencurian tersebut dengan pendanaan program senjata pemusnah massal Korea Utara.

Pada Desember 2025, sebuah laporan Chainalysis mengungkap bahwa peretas DPRK mencuri rekor $2 miliar kripto pada 2025, termasuk pelanggaran Bybit sebesar $1,4 miliar, yang mewakili kenaikan 51% dibanding tahun sebelumnya. Departemen Keuangan AS bulan lalu kembali menegaskan bahwa Korea Utara menggunakan aset hasil curian untuk mendanai program persenjataannya.

Eksploit Drift juga terjadi di tengah eskalasi aktivitas yang lebih luas yang terkait DPRK yang menarget ekosistem kripto, termasuk kompromi rantai pasokan (supply chain) terbaru pada paket axios npm, yang dikaitkan Google kepada aktor ancaman DPRK UNC1069.

Drift Protocol mengonfirmasi eksploit tersebut di X, menyatakan bahwa mereka mengalami “serangan aktif” dan bahwa setoran serta penarikan telah dihentikan. Tim sedang berkoordinasi dengan beberapa perusahaan keamanan, jembatan lintas-rantai, dan bursa untuk membendung insiden tersebut. Token Drift telah turun lebih dari 40% menjadi kira-kira $0,06 sejak peretasan.

FAQ

Berapa banyak yang dicuri dalam eksploit Drift Protocol dan siapa yang diduga?

Sekitar $286 juta dicuri dari Drift Protocol pada 1 April 2026. Elliptic telah mengidentifikasi beberapa indikator yang menunjukkan keterlibatan kelompok peretas DPRK yang disponsori negara Korea Utara, termasuk perilaku on-chain yang direncanakan sebelumnya dan pola pencucian yang konsisten dengan operasi-operasi terkait negara sebelumnya.

Apa yang membuat eksploit Drift terutama sulit dilacak?

Penyerang menguras lebih dari 15 jenis token di beberapa brankas. Model akun Solana menciptakan akun token terpisah untuk setiap jenis aset yang dimiliki oleh satu entitas, artinya berbagai aset curian penyerang masing-masing berada pada alamat on-chain yang berbeda. Tanpa mengelompokkan alamat-alamat ini, para penyelidik melihat potongan-potongan, bukan gambaran lengkap dari serangan tersebut.

Bagaimana insiden ini masuk ke dalam tren peretasan DPRK yang lebih luas?

Jika dikonfirmasi, ini akan menjadi aksi kedelapan belas yang terkait DPRK yang telah dilacak Elliptic pada 2026, dengan lebih dari $300 juta dicuri sejauh ini. Aktor yang terkait DPRK diyakini telah mencuri lebih dari $6,5 miliar aset kripto dalam beberapa tahun terakhir, dengan pemerintah AS mengaitkan pencurian-pencurian ini dengan pendanaan program senjata pemusnah massal negara tersebut.