#DriftProtocolHacked

Drift Protocol, salah satu bursa perpetual dan spot terdesentralisasi terbesar yang dibangun di atas blockchain Solana, terkena salah satu eksploitasi paling menghancurkan dalam sejarah DeFi pada 1 April 2026. Tim mengonfirmasi bahwa insiden tersebut, dalam kata-kata mereka sendiri, "bukan lelucon April Mop." Pada saat debu mulai mereda, perkiraan kerugian total berkisar antara $200 juta hingga $285 juta, menjadikannya peretasan kripto terbesar tahun 2026 sejauh ini, dan serangan paling merusak pada DeFi berbasis Solana sejak eksploit jembatan Wormhole pada tahun 2022.

Tanda bahaya pertama muncul sekitar pukul 18:10 GMT ketika tim Drift menandai aktivitas on-chain yang tidak biasa dan memperingatkan pengguna untuk tidak menyetor dana apa pun. Kurang dari satu jam kemudian, sekitar pukul 18:58 GMT, tim mengonfirmasi bahwa serangan aktif sedang berlangsung, langsung menghentikan semua setoran dan penarikan di seluruh platform, dan mulai mengoordinasikan respons darurat dengan perusahaan keamanan blockchain, jembatan, dan bursa terpusat dalam upaya membekukan atau melacak aset yang dicuri.

Mekanisme serangan tersebut canggih, bermulti-langkah, dan direncanakan dengan hati-hati. Penyelidik on-chain mengungkapkan bahwa pelaku telah menguji eksploitasi setidaknya delapan hari sebelum serangan sebenarnya, menunjukkan jendela persiapan dan pengintaian yang panjang. Inti dari serangan tersebut berputar di sekitar seperangkat kunci admin Drift yang dikompromikan. Apakah ini merupakan kunci pribadi yang bocor atau hasil dari kompromi multisig yang melibatkan beberapa penandatangan, masih dalam penyelidikan, tetapi hasilnya sama: pelaku mendapatkan kendali administratif atas parameter penting protokol.

Dengan akses admin di tangan, pelaku menjalankan urutan berikut. Pertama, mereka membuat token palsu bernama CarbonVote Token, disingkat CVT, dan mendirikan kolam likuiditas palsu untuknya di Raydium. Melalui wash trading, mereka secara artifisial meningkatkan harga CVT sehingga oracle protokol mendaftarkannya sebagai aset bernilai tinggi yang sah. Kedua, menggunakan hak admin yang dikompromikan, mereka mendaftarkan CVT sebagai bentuk jaminan yang diterima dalam pasar spot Drift. Mereka juga menggunakan hak admin tersebut untuk menonaktifkan pengaman penarikan protokol dan menaikkan batas pinjaman USDC dari batas standar $25 juta menjadi $500 juta. Ketiga, dengan membawa sejumlah besar jaminan CVT palsu yang tidak berharga yang kini diakui protokol sebagai asli, pelaku menyetorkannya dan melanjutkan meminjam serta menguras aset nyata dari kolam pinjaman utama dan vault Drift. Ini dilakukan melalui sekitar 31 transaksi on-chain menggunakan fungsi protokol termasuk initializeSpotMarket dan updateSpotMarketStatus. Operasi pengurasan ini dilaporkan memakan waktu sekitar 12 menit dari awal hingga selesai.

Vault yang terdampak termasuk vault JLP Delta Neutral, vault SOL Super Staking, dan vault BTC Super Staking, di antara lainnya. Rincian aset yang dicuri meliputi sekitar $155,6 juta dalam token JLP, $60,4 juta dalam USDC, dan jumlah tambahan dalam SOL, JitoSOL, cbBTC, dan WETH. Total kerugian sekitar 50 persen dari total nilai terkunci Drift, yang sebelumnya sekitar $540 juta sebelum serangan.

Pelaku tidak diam setelah menguras vault. Dana dengan cepat dipertukarkan melalui Jupiter, agregator likuiditas terkemuka di Solana. Sebagian dialihkan melalui dompet Backpack yang mungkin menyimpan catatan KYC, yang telah dicatat oleh penyelidik sebagai petunjuk potensial. Aset kemudian dibawa dari Solana ke Ethereum, diubah menjadi ETH, dan dicuci melalui platform termasuk Hyperliquid dan Monero. Hingga laporan on-chain terbaru, pelaku memegang sekitar 19.913 ETH yang bernilai sekitar $42 juta, dengan lebih dari $82 juta yang sudah dianggap dicuci pada saat penulisan.

Reaksi pasar langsung dan keras. Token DRIFT turun antara 25 dan 50 persen dalam beberapa jam setelah berita menyebar. TVL Drift, yang sebelumnya sekitar $311,93 juta di DeFiLlama saat insiden terjadi, runtuh. Beberapa protokol lain yang terpapar Drift, termasuk Ranger Finance, Reflect Money, Elemental DeFi, dan Project0, menghentikan operasi mereka sebagai langkah pencegahan karena risiko yang saling terkait. Insiden ini sementara menjadikan Drift Protocol token trending nomor satu di CoinGecko saat para trader dan peneliti bergegas menilai eksposur mereka.

Per 2 April 2026, tim Drift belum menerbitkan laporan postmortem resmi atau mengonfirmasi angka kerugian secara pasti. Perusahaan keamanan memberikan perkiraan yang berbeda: CertiK memperkirakan sekitar $136 juta, sementara Arkham Intelligence melacak lebih dekat ke $285 juta dalam aset yang dicuri. Perbedaan ini kemungkinan mencerminkan metodologi berbeda dalam menghitung aset saat pencurian versus nilai setelah likuidasi.

Bagi siapa pun yang berinteraksi dengan Drift Protocol, prioritas utama adalah mencabut semua persetujuan token dan izin terkait protokol. Pengguna disarankan memeriksa izin dompet mereka menggunakan Jup Portfolio scanner atau alat setara. Siapa pun yang memegang aset di vault yang terdampak harus mendokumentasikan posisi mereka dan memantau komunikasi resmi Drift untuk setiap rencana pemulihan atau kompensasi.

Peristiwa ini menjadi pengingat keras akan risiko sistemik yang diperkenalkan oleh eksposur kunci admin ke protokol DeFi. Bahkan platform yang paling diaudit dan teruji pertempuran pun membawa vektor sentralisasi ketika hak admin ada tanpa kontrol multi-pihak yang memadai dan terkunci waktu. Eksploitasi Drift bukan bug kontrak pintar dalam arti tradisional. Itu adalah kegagalan kontrol akses yang memungkinkan satu pelaku untuk secara sepihak mengubah aturan protokol di tengah sesi. Sampai laporan postmortem lengkap dirilis dan rantai kepemilikan kunci yang dikompromikan terjalin, gambaran lengkap tetap belum lengkap.

Situasinya masih berkembang. Pemulihan belum pasti.