Serangan Kilat DeFi Korea Utara Senilai $577 Juta: Drift dan Kelp Diretas dalam 18 Hari

Peretas yang berafiliasi dengan negara Korea Utara telah mengeksekusi dua eksploitasi keuangan terdesentralisasi (DeFi) terbesar dalam sejarah dalam satu bulan, menguras total gabungan lebih dari $577 juta dari Drift Protocol dan Kelp DAO. Perusahaan analitik blockchain, penyedia infrastruktur lintas rantai (cross-chain), dan peneliti keamanan independen telah mengatribusikan kedua serangan tersebut — dengan berbagai tingkat kepercayaan — kepada unit peretasan yang beroperasi di bawah aparatur negara Korea Utara, menandai apa yang digambarkan oleh para analis sebagai kampanye terkoordinasi yang meningkat terhadap infrastruktur DeFi.

Eksploitasi Drift Protocol: Infiltrasi Enam Bulan

Pada 1 April 2026, penyerang menguras sekitar $285 juta dari Drift Protocol — bursa berjangka perpetual terdesentralisasi terbesar di Solana — yang menjadi peretasan DeFi terbesar tahun ini pada titik tersebut dan eksploitasi terbesar kedua dalam sejarah Solana, hanya di belakang peretasan jembatan Wormhole senilai $326 juta pada tahun 2022. Laporan post-mortem Drift menggambarkan serangan itu sebagai hasil dari "persiapan selama enam bulan," mengatribusikannya dengan tingkat kepercayaan sedang kepada UNC4736, aktor ancaman yang disponsori negara Korea Utara yang juga dilacak sebagai AppleJeus, Citrine Sleet, dan Gleaming Pisces — sebuah kelompok dengan sejarah terdokumentasi yang menargetkan sektor mata uang kripto sejak setidaknya 2018. Vektor serangan bukanlah bug pada smart contract. Sebaliknya, serangan ini menggabungkan rekayasa sosial, manipulasi tata kelola (governance), dan token palsu yang dibuat khusus:

• Antara Desember 2025 dan Januari 2026, agen yang menyamar sebagai perusahaan perdagangan kuantitatif mendaftar di Ecosystem Vault pada Drift, menyerahkan dokumentasi strategi, dan menyetorkan lebih dari $1 juta modal mereka sendiri untuk membangun kredibilitas.
• Penyerang memproduksi token fiktif bernama CarbonVote (CVT), yang diisi dengan likuiditas minimal dan volume perdagangan palsu, kemudian memanipulasi oracle Drift agar memperlakukannya sebagai agunan yang sah.
• Antara tanggal 23 dan 30 Maret, penyerang memperoleh persetujuan multisig 2-dari-5 dari anggota Dewan Keamanan Drift dengan menipu mereka agar menandatangani transaksi berbahaya terlebih dahulu menggunakan fitur durable nonce Solana, yang memungkinkan otorisasi tersebut tetap tidak aktif hingga hari eksekusi.
• Saat dipicu pada 1 April, vault dikosongkan dalam waktu sekitar 12 menit, dengan sebagian besar dana curian dipindahkan ke Ethereum melalui jembatan lintas rantai dalam hitungan jam.
• Token DRIFT turun lebih dari 40% setelah eksploitasi tersebut, dan total nilai terkunci (TVL) protokol merosot dari sekitar $550 juta menjadi di bawah $250 juta. Belasan protokol Solana dengan dependensi pada Drift menghentikan operasi mereka.

Eksploitasi Kelp DAO: Peracunan Infrastruktur dalam Skala Besar

Pada 18 April, Kelp DAO — sebuah protokol liquid restaking yang menyalurkan ETH pengguna melalui EigenLayer — menjadi korban eksploitasi senilai $292 juta, yang dikonfirmasi sebagai ulah dari Lazarus Group yang didukung negara Korea Utara, khususnya subunit TraderTraitor-nya. Ini melampaui Drift untuk menjadi eksploitasi DeFi tunggal terbesar di tahun 2026. Penyerang menyusup ke dua node RPC yang diandalkan oleh verifikator LayerZero untuk mengonfirmasi transaksi lintas rantai, mengganti perangkat lunak node dengan versi berbahaya yang melaporkan data palsu. Mereka kemudian meluncurkan serangan distributed denial-of-service (DDoS) terhadap node jujur yang tersisa, memaksa sistem melakukan failover ke endpoint yang telah disusupi — menipu verifikator LayerZero agar menyetujui transaksi lintas rantai palsu dan melepaskan 116.500 rsETH kepada penyerang. LayerZero mengatribusikan pelanggaran ini sebagian karena konfigurasi keamanan Kelp sendiri: protokol tersebut menjalankan pengaturan verifikator 1-dari-1, yang berarti LayerZero Labs adalah satu-satunya entitas yang memverifikasi pesan ke dan dari jembatan rsETH — sebuah konfigurasi yang menurut LayerZero telah diperingatkan sebelumnya. Dampak sistemik menyebar dengan cepat ke seluruh sektor DeFi:

• Eksploitasi 18 April memicu arus keluar sebesar $10 miliar dari Aave di tengah kekhawatiran atas potensi utang buruk.
• Total nilai terkunci di seluruh DeFi turun sekitar 7% dalam 24 jam setelah serangan, menurun dari sekitar $99,5 miliar menjadi $86,3 miliar.
• Beberapa tim DeFi, termasuk Ethena, ether.fi, Tron DAO, dan Curve Finance, menghentikan jembatan token omnichain fungible LayerZero mereka sebagai respons.

Ancaman yang Bergeser dan Meningkat

Unit Korea Utara yang sama kini telah menguras lebih dari $577 juta dari DeFi dalam 18 hari melalui dua vektor serangan yang secara struktural berbeda: rekayasa sosial terhadap penandatangan tata kelola di Drift, dan peracunan infrastruktur RPC di Kelp. Analis mencatat bahwa eksploitasi Kelp memberi sinyal bahwa Lazarus Group Korea Utara berkembang melampaui peretasan yang terisolasi, dengan cepat mengalihkan taktik dari rekayasa sosial ke eksploitasi kelemahan struktural dalam infrastruktur kripto — menunjukkan kampanye berkelanjutan yang digerakkan oleh negara daripada insiden tunggal. Jika atribusi DPRK terbukti di kedua insiden tersebut, hal ini akan mendorong total pencurian kripto yang dikonfirmasi oleh rezim tersebut untuk tahun 2026 melewati $600 juta, hasil yang sebelumnya dikaitkan oleh pemerintah AS dengan program senjata Pyongyang. LayerZero sejak itu mengumumkan bahwa mereka tidak akan lagi menandatangani pesan untuk proyek apa pun yang mengoperasikan konfigurasi verifikator 1-dari-1 dan mempercepat migrasi ke pengaturan multi-DVN. Peneliti keamanan dan pengembang protokol mendesak industri DeFi yang lebih luas untuk memperlakukan governance timelocks, pertahanan oracle berlapis, dan redundansi verifikasi lintas rantai sebagai persyaratan dasar yang tidak dapat ditawar — bukan konfigurasi opsional.

Diterbitkan oleh Coinplurk.com