Serangan Rp 4.51 triliun ($270 Juta) Drift Protocol: Trik Durable Nonces dan Kegagalan Multisig

Drift Protocol mengalami pencurian dana hingga Rp 4.51 triliun ($270 juta) yang bukan karena bug koding atau pembobolan kunci privat, melainkan lewat penyalahgunaan fitur durable nonces di blockchain Solana. Penyerang menggunakan transaksi yang sudah disetujui oleh dua anggota multisig security council Drift namun dapat dieksekusi beberapa minggu kemudian tanpa batas waktu. Fitur durable nonces di Solana memungkinkan transaksi yang valid tanpa kedaluwarsa blok hash selama nonce tidak diganti, yang dimanfaatkan penyerang untuk mengunci tanda tangan dan melancarkan pencurian setelah satu minggu. Serangan ini memerlukan dan berhasil mendapat dua tanda tangan anggota multisig dengan teknik sosial engineering tanpa memerlukan kompromi kunci privat. Akibatnya, protokol Drift diretas melalui transaksi admin palsu yang menguras dana senilai Rp 4.51 triliun ($270 juta) , terutama token JPL dan USDC. Dana kemudian dicuci melewati jembatan lintas rantai dan mixer seperti Tornado Cash. Drift membekukan protokol dan mengamankan dana asuransi, sementara serangan ini menggarisbawahi kelemahan lapisan manusia dalam sistem multisig dan risiko fitur durable nonces.