Cukup baca laporan insiden Drift tentang eksploitasi $270 juta dari bulan April, dan jujur saja, tingkat kecanggihan di sini cukup gila. Ini bukan sekadar peretasan acak—kita berbicara tentang operasi intelijen selama enam bulan oleh kelompok yang terkait dengan negara Korea Utara yang pada dasarnya menyusup ke dalam protokol sebelum melakukan serangan.

Jadi begini kejadiannya. Sekitar musim gugur 2025, para aktor ini muncul di sebuah konferensi kripto besar dengan menyamar sebagai perusahaan perdagangan kuantitatif. Mereka memiliki keahlian teknis, latar belakang yang tampak sah, dan benar-benar memahami protokol Drift. Selama beberapa bulan berikutnya, mereka menjalani proses onboarding yang tampak sangat normal—membuat grup Telegram, melakukan percakapan nyata tentang strategi perdagangan dan integrasi vault, menyetor lebih dari $1 juta uang mereka sendiri, dan bahkan bertemu kontributor Drift secara langsung di berbagai konferensi di beberapa negara melalui Februari dan Maret.

Pada saat mereka mengeksekusi eksploitasi pada 1 April, mereka telah membangun hubungan ini selama hampir enam bulan. Itu jenis kesabaran yang tidak dimiliki kebanyakan penyerang.

Penyusupan sebenarnya terjadi melalui dua vektor yang cerdik. Pertama, mereka membuat orang mengunduh aplikasi dompet palsu melalui TestFlight, yang melewati proses tinjauan keamanan Apple. Kedua, mereka memanfaatkan kerentanan yang sudah diketahui di VSCode dan Cursor yang telah diperingatkan oleh komunitas keamanan sejak akhir 2025—pada dasarnya, hanya dengan membuka sebuah file di editor bisa menjalankan kode sembunyi-sembunyi tanpa peringatan.

Setelah perangkat terkompromi, mereka mendapatkan akses untuk memperoleh persetujuan multisig yang mereka butuhkan. Transaksi yang sudah ditandatangani sebelumnya diamankan selama lebih dari seminggu sebelum dieksekusi pada 1 April, menguras $270 juta dalam waktu kurang dari satu menit.

Para penyelidik melacak ini kembali ke UNC4736, juga dikenal sebagai AppleJeus atau Citrine Sleet—kelompok yang sama di balik serangan Radiant Capital. Menariknya, orang-orang yang benar-benar hadir di konferensi bukanlah warga Korea Utara. Para aktor ini menggunakan identitas pihak ketiga yang lengkap dengan riwayat pekerjaan dan jaringan profesional yang dibangun untuk melewati pemeriksaan due diligence.

Yang benar-benar mengganggu dari hal ini adalah pertanyaan yang lebih luas yang muncul untuk DeFi. Jika penyerang bersedia menghabiskan enam bulan dan satu juta dolar untuk membangun kehadiran yang sah, bertemu tim secara langsung, menyumbangkan modal nyata, dan menunggu saat yang tepat—model keamanan apa yang benar-benar mampu menangkap itu? Drift memperingatkan protokol lain untuk mengaudit kontrol akses dan memperlakukan setiap perangkat yang menyentuh multisig sebagai target potensial. Tapi kenyataannya yang tidak nyaman adalah bahwa tata kelola multisig, yang sebagian besar industri andalkan sebagai model keamanan utama, mungkin memiliki kelemahan struktural yang mendalam ketika menghadapi tingkat kecanggihan seperti ini.

Ini adalah jenis insiden yang membuat Anda mempertanyakan arti "aman" bahkan dalam skala besar.