Elliptic mengatakan pada hari Kamis bahwa eksploitasi Drift Protocol senilai $285 juta, yang terbesar tahun ini, membawa “berbagai indikator” keterlibatan kelompok peretas DPRK yang didukung negara Korea Utara.
Perusahaan riset itu menunjuk secara spesifik pada perilaku di rantai, metodologi pencucian dana, dan sinyal tingkat jaringan, yang semuanya selaras dengan serangan-serangan terkait negara sebelumnya.
Drift Protocol, yang token-nya turun lebih dari 40% menjadi sekitar $0.06 sejak peretasan, adalah bursa futures perpetual terdesentralisasi terbesar di blockchain Solana.
“Jika terkonfirmasi, insiden ini akan menjadi aksi DPRK kedelapan belas yang telah dilacak Elliptic tahun ini, dengan lebih dari $300 juta dicuri sejauh ini,” kata laporan tersebut.
“Ini merupakan kelanjutan dari kampanye berkelanjutan DPRK untuk pencurian aset kripto skala besar, yang telah dikaitkan oleh pemerintah AS dengan pendanaan program persenjataannya. Pihak-pihak yang terkait DPRK diyakini bertanggung jawab atas pencurian aset kripto bernilai miliaran dolar dalam beberapa tahun terakhir,” tambah Elliptic.
Beberapa jam sebelumnya, data Arkham menunjukkan bahwa lebih dari $250 juta telah dipindahkan dari Drift ke dompet perantara, lalu ke berbagai alamat lainnya.
Pada bulan Desember, laporan Chainalysis mengungkap bahwa peretas DPRK mencuri rekor $2 miliar kripto pada tahun 2025, termasuk pelanggaran Bybit senilai $1.4 miliar, yang mewakili peningkatan 51% dibanding tahun sebelumnya. Departemen Keuangan AS bulan lalu mengatakan bahwa Korea Utara menggunakan aset yang dicuri untuk mendanai program senjata pemusnah massanya.
Alih-alih berfokus pada eksploitnya sendiri, analisis Elliptic menyoroti pola operasional yang sudah familiar. Aktivitas tersebut tampak “telah direncanakan sebelumnya dan ditata dengan cermat,” dengan transaksi uji di awal serta dompet yang sudah diposisikan sebelum peristiwa utama.
Laporan tersebut menjelaskan bahwa setelah dijalankan, dana dikonsolidasikan dengan cepat dan dipertukarkan, dijembatani lintas rantai, lalu dikonversi menjadi aset yang lebih likuid, yang mencerminkan alur pencucian yang terstruktur dan dapat diulang untuk menyamarkan asal sambil tetap mempertahankan kontrol.
Tantangan utama, catat Elliptic, adalah model akun Solana. Karena setiap aset disimpan dalam akun token terpisah, aktivitas yang terkait dengan satu aktor dapat terlihat terpecah di berbagai alamat. Tanpa menghubungkannya, penyelidik berisiko hanya melihat “fragmen aktivitas penyerang, bukan gambaran lengkapnya.”
Di sinilah laporan Elliptic menyoroti pendekatan pengelompokan, yang menghubungkan akun token kembali ke satu entitas, sehingga eksposur dapat diidentifikasi terlepas dari alamat mana yang diperiksa. Dalam sebuah insiden yang melibatkan lebih dari selusin jenis aset, pandangan pada tingkat entitas menjadi sangat penting.
Kasus ini juga menekankan, tambah Elliptic dalam laporannya, bahwa pencucian telah menjadi lintas-rantai secara inheren. Dana dipindahkan dari Solana ke Ethereum dan seterusnya, menunjukkan kebutuhan akan apa yang dijelaskan Elliptic sebagai “kemampuan penelusuran lintas-rantai yang menyeluruh.”