Jakarta, CNBC Indonesia - Korea Utara (Korut) kembali menjadi sorotan di sektor keamanan siber. Laporan dari Coindesk menyebut operasi intelijen selama enam bulan yang dilancarkan kelompok teraifiliasi dengan Korut telah mengeksploitasi Drift Protocol senilai US$270 juta (Rp4,6 miliar).
Para penyerang pertama kali melakukan kontak jelang akhir 2025 di sebuah konferensi kripto besar, dengan memperkenalkan diri sebagai perusahaan perdagangan kuantitatif yang ingin berintegrasi dengan Drift.
Menurut Drift, mereka mahir secara teknis, memiliki latar belakang profesional yang dapat diverifikasi, dan memahami cara kerja protokol tersebut. Alhasil, sebuah grup Telegram dibentuk dan mereka melakukan percakapan substantif selama berbulan-bulan seputar strategi perdagangan dan integrasi vault, interaksi yang standar bagi perusahaan perdagangan untuk bergabung dengan protokol DeFi.
Antara Desember 2025 dan Januari 2026, kelompok tersebut mengintegrasikan Ecosystem Vault di Drift, mengadakan beberapa sesi kerja dengan kontributor, menyetorkan lebih dari US$1 juta modal mereka sendiri, dan membangun kehadiran operasional yang berfungsi di dalam ekosistem.
Kontributor Drift bertemu langsung dengan individu-individu dari kelompok tersebut di beberapa konferensi industri besar di berbagai negara selama Februari dan Maret 2026. Pada saat serangan diluncurkan pada 1 April, hubungan tersebut telah terjalin hampir setengah tahun.
Kerentanan tersebut tampaknya terjadi melalui dua jalur.
Jalur kedua mengunduh aplikasi TestFlight, platform Apple untuk mendistribusikan aplikasi pra-rilis yang melewati tinjauan keamanan App Store.
Untuk jalur repositori, Drift menunjuk pada kerentanan yang diketahui di VSCode dan Cursor, dua editor kode yang paling banyak digunakan dalam pengembangan perangkat lunak, yang telah ditandai oleh komunitas keamanan sejak akhir tahun 2025.
Setelah perangkat diretas, penyerang memiliki file-file yang mereka butuhkan untuk mendapatkan dua persetujuan multisig yang memungkinkan serangan nonce tahan lama yang dirinci CoinDesk awal pekan ini.
Transaksi yang telah ditandatangani sebelumnya tidak aktif selama lebih dari seminggu sebelum dieksekusi pada 1 April, menguras US$270 juta dari brankas protokol dalam waktu kurang dari satu menit.
Tuduhan tersebut mengarah ke UNC4736, sebuah kelompok yang berafiliasi dengan negara Korut yang juga dilacak sebagai AppleJeus atau Citrine Sleet, berdasarkan aliran dana on-chain yang dapat ditelusuri kembali ke para penyerang Radiant Capital dan tumpang tindih operasional dengan persona yang dikenal terkait dengan Korut.
Individu-individu yang hadir secara langsung di konferensi tersebut bukanlah warga negara Korut. Pelaku ancaman Korut pada level ini dikenal menggunakan perantara pihak ketiga dengan identitas yang sepenuhnya dibuat, riwayat pekerjaan, dan jaringan profesional yang dibangun untuk tahan terhadap uji tuntas.
Drift mendesak protokol lain untuk mengaudit kontrol akses dan memperlakukan setiap perangkat yang terhubung dengan multisig sebagai target potensial. Implikasi yang lebih luas tidak nyaman bagi industri yang mengandalkan tata kelola multisig sebagai model keamanan utamanya.
Namun, jika penyerang bersedia menghabiskan enam bulan dan satu juta dolar untuk membangun kehadiran yang sah di dalam ekosistem, bertemu tim secara langsung, menyumbangkan modal nyata, dan menunggu, pertanyaannya adalah model keamanan apa yang dirancang untuk menangkap hal itu.
(fab/fab)
[Gambas:Video CNBC]
:strip_icc():format(jpeg)/kly-media-production/medias/5447158/original/073347100_1765949827-0L5A7521.JPG)
:strip_icc():format(jpeg)/kly-media-production/medias/5452570/original/017450600_1766406793-IMG_2730_1_.jpeg)