Kisah Hack $285 Juta di Drift Protocol: Bagaimana “Nonce Abadi” Solana Menjadi Senjata Mematikan bagi Peretas

Blockchain Ekonomi Jurnalisme Otomatis

Kisah Hack $285 Juta di Drift Protocol: Bagaimana “Nonce Abadi” Solana Menjadi Senjata Mematikan bagi Peretas

Pada 1 April 2026, tepat di hari April Mop yang biasanya penuh lelucon, komunitas kripto Solana dibuat terkejut bukan main. Bukan prank, melainkan serangan sungguhan yang mengguncang salah satu pilar terkuat DeFi di blockchain Solana. Drift Protocol — platform perdagangan perpetual futures, spot, dan lending terbesar di Solana — kehilangan hampir $285 juta dalam hitungan menit. Ini bukan sekadar “hack biasa”. Ini adalah serangan paling canggih tahun ini, yang memanfaatkan fitur resmi Solana untuk membobol sistem keamanan multisig.

Semuanya bermula sekitar pukul 16.00 UTC. On-chain analyst seperti Lookonchain dan PeckShield melihat aliran dana besar-besaran dari alamat vault utama Drift (yang dilabeli Arkham sebagai “Drift Protocol: Vault (JCNCM)”). Vault yang sebelumnya menyimpan $309 juta aset langsung menyusut menjadi hanya $41 juta. Lebih dari 15 jenis token terkuras sekaligus: 41,7 juta JLP senilai $155 juta, 51,6 juta USDC, ratusan ribu cbBTC, WSOL, WETH, WBTC, token staking likuid, hingga memecoin seperti 23 juta FARTCOIN senilai $4 juta. Total kerugian akhirnya mencapai kisaran $270–285 juta, menyapu lebih dari 50% TVL Drift yang sebelumnya mencapai $550 juta.

Drift Protocol langsung bereaksi. Timnya mengumumkan di X (Twitter):

“Kami sedang mengamati aktivitas tidak biasa di protokol. Kami sedang menyelidiki. Mohon jangan deposit dana ke protokol sementara kami menyelidiki. Ini bukan April Fools joke. Hati-hati sampai ada pemberitahuan lebih lanjut.”

Beberapa jam kemudian, pengumuman kedua: “Kami mengalami serangan aktif. Deposit dan penarikan ditangguhkan. Kami berkoordinasi dengan berbagai firma keamanan, bridge, dan exchange untuk menahan insiden ini.” Bukan bug smart contract. Bukan pencurian private key. Ini jauh lebih halus dan menyeramkan.

Mekanisme Serangan: Durable Nonce, Senjata Rahasia SolanaMenurut pernyataan resmi Drift yang dirilis kemudian, pelaku adalah aktor yang sangat terorganisir dan sudah merencanakan serangan ini selama berminggu-minggu (setidaknya sejak 23 Maret 2026). Mereka memanfaatkan fitur durable nonce — sebuah mekanisme resmi Solana yang memungkinkan transaksi ditandatangani di muka dan dieksekusi kapan saja di masa depan tanpa gagal karena nonce expired. Fitur ini biasanya digunakan untuk menghindari kegagalan transaksi di jaringan yang cepat seperti Solana. Kali ini, dipakai untuk “membekukan” akses admin.

Cara kerjanya:

  1. Penyerang membuat beberapa wallet yang terkait dengan anggota Security Council (multisig 5-of-5 milik Drift).
  2. Mereka berhasil mendapatkan 2 dari 5 tanda tangan (kemungkinan besar melalui social engineering atau transaksi yang disamarkan).
  3. Dengan dua approval itu, mereka pre-sign transaksi admin menggunakan durable nonce.
  4. Saat council melakukan rotasi rutin (sekitar 30 Maret), penyerang sudah siap dengan wallet baru.
  5. Pada 1 April, mereka tinggal “menekan tombol” — mengeksekusi transaksi yang sudah disiapkan berminggu-minggu lalu. Dalam hitungan menit, mereka menguasai hak admin dan menguras seluruh vault.

Ini bukan eksploit kode, melainkan eksploit tata kelola manusia. Kombinasi antara fitur blockchain yang legitimate dengan manipulasi manusia. Ahli keamanan blockchain menyebutnya sebagai salah satu serangan paling elegan yang pernah dilihat di DeFi Solana.

Dana yang dicuri langsung diswap menjadi ETH di on-chain, sebagian di-bridge ke Ethereum lewat Circle CCTP. Beberapa pihak mengkritik Circle karena lambat membekukan USDC yang dicuri. Sementara itu, wallet perantara utama (HkGz4KmoZ7Zmk7HN6ndJ31UJ1qZ2qgwQxgVqQwovpZES) hanya menyisakan kurang dari $600 ribu setelah dana disebar ke berbagai alamat.

Dampak Langsung dan Reaksi Pasar

Harga token asli DRIFT langsung ambruk. Dalam hitungan jam, turun 17–40%, menyentuh level terendah baru di kisaran $0,05. Likuiditas protokol menyusut drastis. Trader perpetual dan spot terpaksa menghadapi ketidakpastian besar. CEO Helius, Mert Mumtaz, menjadi salah satu yang pertama memberi alarm di X dan mendesak Circle untuk segera bertindak. Komunitas Solana terbagi: ada yang panik, ada yang marah, tapi banyak juga yang kagum (sekaligus takut) melihat kecanggihan serangan ini. Beberapa analis bahkan menyebut ini sebagai “hack terbesar DeFi 2026” dan salah satu yang terbesar sepanjang sejarah Solana.

Pelajaran Keras untuk Seluruh Ekosistem DeFi

Insiden Drift bukan sekadar cerita “lagi-lagi ada hack”. Ini mengungkap dua kelemahan mendasar yang masih menghantui DeFi di 2026:

  1. Multisig bukan jaminan keamanan mutlak — meski sudah 5-of-5, social engineering tetap bisa merobohkannya.
  2. Fitur convenience blockchain bisa jadi senjata — durable nonce dirancang untuk user experience, tapi tanpa guardrail yang ketat di level governance, justru menjadi celah mematikan.

Drift sendiri mengakui bahwa serangan ini “sangat canggih” dan memerlukan persiapan panjang. Ini mengingatkan kita pada pelajaran lama: di dunia kripto, ancaman terbesar sering bukan dari kode, melainkan dari manusia di belakangnya.

Bagi Solana, ini pukulan telak di tengah momentum kebangkitan DeFi mereka. Bagi investor institusional yang mulai melirik perpetual DEX, kejadian ini akan menjadi pertimbangan serius soal risiko custody dan governance. Sementara bagi user retail, pesannya jelas: jangan pernah anggap protokol “terlalu besar untuk gagal”.

Saat tulisan ini dibuat (2 April 2026), tim Drift masih bekerja siang-malam bersama firma keamanan untuk menelusuri dana dan mencari kemungkinan pemulihan. Sebagian besar aset vault memang berupa collateral user, sehingga dampaknya dirasakan langsung oleh trader yang memakai leverage di platform tersebut. Apakah ada asuransi protokol yang bisa menutup kerugian? Masih belum jelas.

Satu hal yang pasti: hack Drift Protocol 2026 akan tercatat sebagai kasus studi klasik tentang bagaimana inovasi blockchain bisa berbalik menjadi bumerang jika tata kelola tidak diimbangi dengan kewaspadaan manusia yang setara. Di dunia DeFi yang serba cepat, kadang “fitur keren” justru menjadi lubang yang paling dalam.

Sumber:

wublock.substack.com coindesk.com thedefiant.io banklesstimes.com coindesk.com

AI: Grok

Related Posts

Post Comment