Drift Protocol: Mulai menyusun rencana pemulihan, berpartisipasi dalam program keamanan STRIDE

Drift Protocol pada 8 April di platform X merilis perkembangan terbaru terkait peristiwa tersebut, menyatakan bahwa saat ini mereka secara aktif menyusun rencana pemulihan yang selaras dan disepakati bersama para mitra. Pada tahap ini, fokus pekerjaan adalah menstabilkan situasi, serta memberikan perlindungan pada level perjanjian kepada semua pengguna dan mitra yang terdampak. Selain itu, Drift Protocol mengumumkan bahwa mereka akan berpartisipasi dalam program keamanan STRIDE yang berada di bawah Yayasan Solana; selanjutnya, akan diumumkan lebih banyak detail.

Kondisi terkini rencana pemulihan: stabilkan situasi sebagai tugas utama saat ini

Drift Protocol menekankan bahwa perumusan rencana pemulihan melibatkan koordinasi multi-pihak antara mitra, pengguna yang terdampak, dan pihak-pihak yang bekerja sama dalam ekosistem. Saat ini, prioritasnya adalah “menstabilkan situasi”, memastikan pengguna yang terdampak memperoleh perlindungan pada tingkat perjanjian, serta meneliti skema kompensasi dan pemulihan berikutnya.

Berpartisipasi dalam program STRIDE merupakan bagian penting dari peta jalan penguatan keamanan Drift Protocol. STRIDE dipimpin oleh Asymmetric Research, didanai oleh Yayasan Solana, dan menyediakan penilaian keamanan independen, pemantauan ancaman proaktif 24/7 (untuk perjanjian dengan TVL lebih dari 10 juta dolar AS), serta layanan verifikasi formal (untuk perjanjian dengan TVL lebih dari 100 juta dolar AS).

Rekonstruksi serangan: rincian enam bulan operasi penyusupan intelijen

Serangan kali ini bukanlah pemanfaatan celah teknis tradisional, melainkan tindakan gabungan yang menggabungkan rekayasa sosial dan penetrasi teknis. Para penyerang menyamar sebagai “perusahaan perdagangan kuantitatif yang tertarik pada integrasi”, secara aktif menjalin kontak dengan pihak target pada sebuah konferensi industri besar musim gugur tahun lalu. Setelah itu, mereka secara bertahap membangun kepercayaan melalui pertemuan tatap muka dan komunikasi di Telegram. Sebelum menjalankan serangan, pihak penyerang bahkan menyimpan dana milik sendiri sebesar 1 juta dolar AS ke brankas platform untuk meningkatkan kredibilitas; setelah tindakan selesai, mereka segera menghilang.

Jalur teknis taktik serangan

Sisipan penyusupan repositori kode berbahaya: menyematkan kode berbahaya ke dalam lingkungan pengembangan melalui jalur rantai pasokan, untuk memungkinkan eksekusi diam-diam

Pemalsuan aplikasi: menggiring kontributor untuk mengunduh dan menjalankan program berbahaya dengan alat yang tampak sah dari segi tampilan

Pemanfaatan celah pada alat pengembangan: mencapai efek eksekusi kode diam-diam dengan menargetkan kelemahan pada proses pengembangan

Penyusupan rekayasa sosial: menggunakan perantara pihak ketiga untuk menjalankan pertemuan tatap muka, menghindari risiko identifikasi langsung berdasarkan kewarganegaraan

Drift Protocol menyatakan bahwa pihak yang melakukan kontak tatap muka bukanlah warga Korea Utara; pelaku dengan latar belakang negara seperti ini biasanya melaksanakan misi penyusupan di tempat melalui perantara pihak ketiga.

Attribution AppleJeus: jejak serangan digital organisasi intelijen Korea Utara

Drift Protocol mengatribusikan serangan ini dengan keyakinan menengah-tinggi kepada organisasi ancaman AppleJeus (juga dikenal sebagai Citrine Sleet). Perusahaan keamanan siber Mandiant sebelumnya telah mengaitkan organisasi tersebut dengan serangan siber terhadap Radiant Capital pada tahun 2024. Personel respons insiden menyatakan bahwa analisis on-chain dan pola tumpang tindih identitas mengarah pada keterlibatan pihak terkait Korea Utara, namun Mandiant saat ini belum secara resmi mengonfirmasi atribusi tersebut.

Seorang direktur strategi di perusahaan keamanan blockchain mengatakan bahwa lawan yang dihadapi tim mata uang kripto saat ini lebih mirip “lembaga intelijen” ketimbang peretas tradisional. Peristiwa ini menyoroti masalah keamanan inti yang bukan terletak pada jumlah penandatangan transaksi, melainkan pada “kurangnya pemahaman mendasar tentang maksud transaksi”, yang menyebabkan penandatangan ditipu untuk menyetujui operasi berbahaya.

Peringatan industri: ekosistem DeFi mungkin sudah luas disusupi

Seorang peneliti keamanan yang ikut dalam investigasi ini mengatakan bahwa ekosistem DeFi kemungkinan telah luas disusupi oleh aktor seperti ini, dan memperkirakan bahwa organisasi terkait telah terlibat dalam memengaruhi banyak perjanjian dalam jangka panjang. Pernyataan ini berarti serangan Drift Protocol mungkin bukan peristiwa yang terisolasi, melainkan bagian dari rangkaian aksi penyusupan berkelanjutan skala lebih besar. Seluruh kerangka pertahanan keamanan ekosistem keuangan terdesentralisasi menghadapi tekanan refleksi mendasar.

Pertanyaan yang sering diajukan

Bagaimana perkembangan rencana pemulihan untuk kasus pencurian 285 juta dolar AS milik Drift Protocol?

Drift Protocol menyatakan bahwa mereka secara aktif menyusun rencana pemulihan yang selaras dengan mitra. Pada tahap saat ini, fokusnya adalah menstabilkan situasi dan memberikan perlindungan pada level perjanjian bagi semua pengguna dan mitra yang terdampak, serta mengumumkan bahwa mereka akan berpartisipasi dalam program keamanan STRIDE yang berada di bawah Yayasan Solana; rincian selanjutnya akan diumumkan secara terpisah.

Bagaimana Drift Protocol diserang?

Para penyerang menyamar sebagai perusahaan perdagangan kuantitatif, dan selama enam bulan membangun kepercayaan melalui pertemuan tatap muka serta penyusupan rekayasa sosial. Mereka juga menyimpan terlebih dahulu dana riil sebesar 1 juta dolar AS untuk meningkatkan kredibilitas. Pada akhirnya, melalui pelaksanaan eksekusi kode diam-diam dengan repositori kode berbahaya, aplikasi palsu, dan pemanfaatan celah pada alat pengembangan, mereka mencuri sekitar 285 juta dolar AS.

Apakah keterkaitan serangan ini dengan organisasi intelijen Korea Utara sudah dikonfirmasi?

Drift Protocol dengan keyakinan menengah-tinggi mengatribusikan serangan kepada organisasi ancaman AppleJeus. Analisis on-chain dan pola tumpang tindih identitas mengarah pada keterlibatan pihak terkait Korea Utara. Namun, saat ini perusahaan keamanan siber Mandiant belum secara resmi mengonfirmasi atribusi tersebut.