285 juta dolar disedot dalam 12 menit, bukan karena bug, tetapi karena sistem lebih percaya kepada manusia daripada seharusnya.

Pada 1 April 2026, Drift Protocol, DEX perpetual terbesar di Solana, dieksploitasi sebesar $285M. Protocol ini memiliki sekitar $550M nilai terkunci total sebelum serangan, dan lebih dari separuhnya secara efektif dihapus dalam hitungan menit.

Bagian yang penting adalah ini: tidak ada yang rusak di tingkat kode. Tidak ada bug kontrak pintar. Sistem berperilaku persis seperti yang dirancang.

Penyerang menghabiskan sekitar enam bulan membangun akses. Mereka mendekati kontributor pada akhir 2025 dengan mengaku sebagai perusahaan perdagangan yang sah, menghadiri konferensi nyata, mengadakan diskusi teknis, dan bahkan menyebarkan lebih dari $1M ke ekosistem untuk terlihat kredibel. Seiring waktu, mereka mendapatkan kepercayaan dan memperkenalkan alat berbahaya melalui repositori kode bersama dan aplikasi palsu. Ini memungkinkan mereka untuk mengompromikan perangkat kontributor yang terhubung ke tata kelola.

Dari sana, mereka menargetkan lapisan tata kelola alih-alih kode.

Drift menggunakan multisig 2-dari-5 tanpa timelock, yang berarti dua penandatangan dapat menyetujui tindakan administratif secara instan. Penyerang memanfaatkan ini dengan membuat penandatangan menyetujui transaksi sebelumnya menggunakan fitur Solana yang disebut nonce tahan lama, yang memungkinkan transaksi yang ditandatangani tetap berlaku tanpa batas waktu. Persetujuan ini dikumpulkan berminggu-minggu sebelum eksploit dan tidak dapat dibatalkan kemudian.

Pada saat yang sama, penyerang membuat token palsu bernama CVT. Mereka mencetak 750 juta token, menambahkan likuiditas minimal, dan menggunakan wash trading agar terlihat seperti aset $1 nyata. Sistem oracle protocol menerima harga ini sebagai valid karena tidak ada pemeriksaan likuiditas atau validasi yang ketat.

Ketika semuanya siap, eksekusi berlangsung sekitar 12 menit.

Mereka menggunakan transaksi yang sudah disetujui sebelumnya untuk mengendalikan tata kelola, mendaftarkan token palsu sebagai jaminan, memanipulasi harga melalui oracle mereka sendiri, dan menaikkan batas penarikan untuk secara efektif menghilangkan semua kontrol risiko. Kemudian mereka menyetor jaminan palsu dan meminjam aset nyata terhadapnya di berbagai vault.

Total 31 transaksi menyedot sekitar $285 juta aset termasuk USDC, ETH, token berbasis SOL, dan lainnya.

Dalam beberapa jam, dana dipindahkan antar rantai. Penyerang menukar aset ke USDC, menjembatani lebih dari $200M ke Ethereum melalui lebih dari 100 transaksi, mengonversinya menjadi sekitar 129.000 ETH, dan membagi dana ke berbagai dompet.

Serangan ini dikaitkan dengan Lazarus Group, yang telah mencuri lebih dari $6B dari ekosistem kripto dalam beberapa tahun terakhir.

Ini bukan kegagalan teknologi blockchain. Ini adalah kegagalan desain tata kelola, kepercayaan manusia.

Ini adalah kombinasi dari:

• Rekayasa sosial jangka panjang
• Akses tata kelola yang sudah disetujui sebelumnya
• Jaminan palsu yang lolos pemeriksaan sistem
• Eksekusi langsung tanpa penundaan pengaman