Baru saja selesai membaca analisis lengkap rantai kejadian Drift Protocol ini, harus dikatakan, ini mungkin adalah kasus keamanan DeFi paling menggetarkan yang pernah saya lihat tahun ini.

Kejadian terjadi pada 1 April. Bursa kontrak abadi terbesar di ekosistem Solana, Drift, dalam waktu hanya beberapa puluh menit, kehilangan 285 juta dolar AS. Tapi ini bukanlah celah kontrak pintar yang rumit, malah mengungkapkan satu kelemahan mematikan yang selama ini kita abaikan: manusia.

Yang paling menarik perhatian saya adalah metode serangan yang digunakan pelaku. Mereka menghabiskan waktu selama enam bulan untuk merencanakan. Pertama-tama menyamar sebagai sebuah lembaga perdagangan kuantitatif besar, membawa uang asli ke dalam ekosistem Drift, mengikuti berbagai konferensi kripto, dan membangun hubungan dengan tim inti. Topeng hacker ini sangat profesional—bukan sekadar phishing, melainkan dengan menawarkan saran pengujian produk berkualitas tinggi dan pandangan strategis, secara bertahap mendapatkan akses ke grup komunikasi internal.

Langkah kedua lebih licik. Mereka memanfaatkan mekanisme unik Solana—"Durable Nonces"—yang awalnya dirancang untuk memudahkan penandatanganan transaksi secara offline, tetapi mereka jadikan bom waktu. Melalui beberapa permintaan pengujian palsu, mereka mengarahkan anggota Komite Keamanan Drift untuk melakukan "Blind Signing" (Penandatanganan Buta). Transaksi yang tampaknya biasa, payload sebenarnya adalah transfer hak pengelolaan tertinggi dari protokol.

Kemudian situasi berubah drastis. Pada 27 Maret, Drift melakukan pembaruan tata kelola yang tampaknya progresif: mengubah Komite Keamanan menjadi arsitektur multi-tanda 2/5. Tapi masalahnya—mereka menghapus time lock. Ini berarti selama dua tanda tangan, setiap instruksi yang mengubah logika inti protokol akan langsung dieksekusi. Tanpa waktu reaksi.

Pada 1 April, semua pengaturan sudah siap. Pelaku serangan sekaligus mengeksekusi instruksi multi-tanda yang sebelumnya dicuri, secara instan mendapatkan hak Admin. Langkah selanjutnya seperti menarik dana dari dompet sendiri—mereka menambahkan token palsu bernama CVT ke daftar putih, mengatur batas pinjaman ke level tertinggi, memanipulasi harga melalui oracle, dan menggunakan token tak berharga ini sebagai jaminan, secara sah "meminjam" 285 juta dolar AS dalam bentuk USDC, SOL, dan ETH.

Yang paling ironis adalah: dari sudut pandang blockchain, setiap langkah pelaku serangan sepenuhnya legal. Mereka tidak memanfaatkan overflow bilangan bulat atau serangan reentrancy, melainkan mendapatkan kunci administrator asli, lalu mengikuti proses normal untuk menarik dana.

Ini mengungkapkan masalah inti tata kelola DeFi saat ini: kita menggunakan alat multi-tanda tingkat ritel untuk mengelola dana bernilai puluhan miliar dolar. Sebagian besar protokol DeFi utama masih bergantung pada kontrak pintar multi-tanda tradisional (seperti Safe), yang memiliki dua kekurangan mendasar. Pertama, tidak mampu mencegah serangan social engineering—selama pelaku serangan menguasai beberapa individu kunci yang memegang kunci pribadi, pertahanan akan runtuh. Kedua, tidak ada verifikasi niat—multi-tanda hanya memverifikasi "apakah ini tanda tangan orang-orang ini", tetapi tidak bisa memverifikasi "apa arti dari apa yang mereka tanda tangani".

Saya rasa kejadian ini menandai titik balik keamanan DeFi. Dari eksperimen para geek menuju infrastruktur keuangan yang sesungguhnya, standar keamanan harus ditingkatkan. Kesepakatan industri secara bertahap terbentuk, dan perlindungan DeFi generasi berikutnya harus mencakup beberapa arah:

Pertama adalah peningkatan di lapisan perangkat keras. Menggunakan HSM (Hardware Security Module) menggantikan multi-tanda perangkat lunak—kunci pribadi disimpan dalam chip enkripsi tingkat militer, yang sama sekali tidak bisa diekspor. Isolasi fisik dan kontrol tingkat perangkat keras ini dapat secara menyeluruh menghilangkan risiko social engineering internal dan kompromi perangkat.

Kedua adalah memperkenalkan mesin kebijakan berbasis niat. Otorisasi DeFi di masa depan tidak cukup hanya memverifikasi tanda tangan. Sistem perlu menyematkan logika manajemen risiko—misalnya, ketika sebuah transaksi mencoba mengubah batas pinjaman token yang tidak dikenal menjadi tak terbatas, mesin kebijakan harus secara otomatis mengenali niat yang mencurigakan, memicu mekanisme penghentian, dan memaksa verifikasi tingkat lebih tinggi (seperti audit manusia berlapis, verifikasi video, atau time lock paksa).

Terakhir adalah memperkenalkan pihak ketiga yang independen untuk pengelolaan aset. Seiring meningkatnya TVL, pengembang protokol harus fokus pada logika kode dan inovasi bisnis, menyerahkan kendali dan perlindungan dana bernilai puluhan miliar dolar kepada lembaga pengelola yang memiliki kepatuhan regulasi. Seperti di keuangan tradisional, bursa tidak akan menyimpan aset pengguna di brankas pribadi pemiliknya. Memperkenalkan proses pengelolaan risiko yang diaudit dan memiliki pertahanan serangan yang kuat adalah jalan pasti agar DeFi dapat diadopsi secara massal.

285 juta dolar AS dari Drift ini mungkin adalah pelajaran keamanan termahal. Tapi dari sudut pandang lain, kejadian ini mungkin justru menjadi titik kritis transformasi paradigma keamanan DeFi—dari tata kelola yang longgar menuju arsitektur perangkat keras, verifikasi niat, dan pengelolaan profesional. Hanya dengan memperkuat pertahanan ini, Web3 dapat benar-benar menampung nilai masa depan yang bernilai triliunan.