Uang Rp 4,6 Miliar Raib Dalam 6 Bulan, Begini Modusnya

Kota Jakarta kembali menjadi fokus perhatian dalam bidang keamanan siber, terutama setelah laporan menyoroti serangan terhadap Drift Protocol dengan nilai US$270 juta (Rp4,6 miliar). Operasi ini berlangsung selama enam bulan, mengakibatkan eksploitasi kerentanan sistem yang direncanakan oleh kelompok terafiliasi dengan Korea Utara (Korut).

Proses Integrasi yang Dirancang

Kelompok penyerang memulai kontak pada akhir 2025 melalui acara kripto besar, menawarkan diri sebagai perusahaan trading kuantitatif yang ingin terintegrasi dengan Drift. Mereka menunjukkan kemampuan teknis dan latar belakang profesional yang dapat diverifikasi, sehingga membentuk grup Telegram untuk berdiskusi tentang strategi dan integrasi vault selama berbulan-bulan.

Menurut Drift, mereka mahir secara teknis, memiliki latar belakang profesional yang dapat diverifikasi, dan memahami cara kerja protokol tersebut.

Dari Desember 2025 hingga Januari 2026, kelompok ini mengintegrasikan Ecosystem Vault di Drift, mengadakan sesi kerja dengan kontributor, menyetorkan lebih dari US$1 juta sebagai modal, serta membangun kehadiran operasional yang aktif dalam ekosistem. Pertemuan langsung dengan tim Drift terjadi di konferensi industri utama di berbagai negara pada Februari dan Maret 2026, menjelang serangan diluncurkan pada 1 April.

Jalur Serangan yang Berbeda

Ada dua jalur yang digunakan untuk menembus keamanan. Jalur pertama memanfaatkan kerentanan pada VSCode dan Cursor, dua editor kode populer dalam pengembangan perangkat lunak. Kerentanan ini telah dikenal oleh komunitas keamanan sejak akhir 2025. Jalur kedua melibatkan penggunaan TestFlight, platform Apple untuk aplikasi pra-rilis yang lolos verifikasi App Store.

Setelah meretas perangkat, penyerang memperoleh file-file penting untuk mendapatkan dua persetujuan multisig. Ini memungkinkan serangan nonce tahan lama yang dijelaskan CoinDesk awal pekan ini. Transaksi yang telah ditandatangani aktif selama lebih dari seminggu sebelum dieksekusi dalam waktu kurang dari satu menit, menguras dana US$270 juta dari brankas protokol.

Kelompok Pelaku dan Identitasnya

Tuduhan ini mengarah ke UNC4736, kelompok yang terafiliasi dengan Korut dan juga dikenal sebagai AppleJeus atau Citrine Sleet. Aliran dana on-chain terkait dengan mereka dapat dikaitkan ke Radiant Capital, serta memiliki operasional yang tumpang tindih dengan identitas yang dikaitkan dengan Korut. Anggota kelompok yang hadir di konferensi bukan warga negara Korut, tetapi menggunakan perantara dengan identitas palsu, riwayat pekerjaan, dan jaringan profesional yang disusun untuk menghindari pemeriksaan ketat.

Implikasi bagi Industri DeFi

Drift menyarankan protokol lain untuk melakukan audit terhadap kontrol akses dan memperlakukan setiap perangkat yang terhubung dengan multisig sebagai target potensial. Serangan ini menggugat model keamanan yang bergantung pada tata kelola multisig, mengingat penyerang mampu membangun kehadiran sah dalam ekosistem dengan investasi hingga satu juta dolar serta kesabaran selama enam bulan.

PERTANYAAN muncul: model keamanan apa yang mampu menangkap upaya seperti ini, jika penyerang bersedia menghabiskan waktu dan sumber daya yang signifikan untuk menyusun rencana yang terlihat sah?