ASIAWORLDVIEW – Solana kembali diguncang oleh serangan hacker besar yang menargetkan Drift Protocol, sebuah decentralized exchange (DEX) berbasis Solana, dengan kerugian mencapai lebih dari USD285 juta. Insiden ini menjadi salah satu peretasan DeFi terbesar tahun 2026 dan memperlihatkan kelemahan serius dalam ekosistem Solana.
Di Solana, setiap transaksi menyertakan ‘blockhash terbaru,’ yang pada dasarnya merupakan cap waktu yang membuktikan bahwa transaksi tersebut baru saja dibuat. Blockhash tersebut akan kedaluwarsa setelah sekitar 60 hingga 90 detik. Jika transaksi tidak dikirimkan ke jaringan dalam jangka waktu tersebut, transaksi tersebut menjadi tidak valid. Ini merupakan fitur keamanan yang membantu mencegah transaksi lama dan usang diputar ulang di kemudian hari.
Nonces yang tahan lama menggantikan fitur keamanan tersebut. Nonces ini menggantikan blockhash yang kadaluwarsa dengan ‘nonce’ tetap, yaitu kode sekali pakai yang disimpan dalam akun on-chain khusus, yang menjaga transaksi tetap valid tanpa batas waktu hingga seseorang memilih untuk mengirimkannya.
Fitur ini ada karena alasan yang sah. Dompet hardware, pengaturan penandatanganan offline, dan solusi penyimpanan institusional semuanya memerlukan kemampuan untuk menyiapkan dan menyetujui transaksi tanpa dipaksa untuk mengirimkannya dalam waktu 90 detik.
Baca Juga: Stablecoin Solana Memimpin Pertumbuhan Seiring Lonjakan Volume
Namun, transaksi yang berlaku selamanya menimbulkan masalah. Jika seseorang dapat membuat orang lain menandatangani transaksi hari ini, transaksi tersebut dapat dieksekusi minggu depan atau bulan depan, sesuai aturan yang sudah ditentukan dalam sistem. Penandatangan tidak memiliki cara untuk mencabut persetujuannya setelah diberikan, kecuali akun nonce dimajukan secara manual, yang jarang dipantau oleh pengguna.
Protokol Drift diatur oleh ‘Security Council multisig,’ sistem di mana beberapa orang (dalam hal ini, lima) berbagi kendali, dan setiap tindakan memerlukan setidaknya dua di antaranya untuk menyetujui. Multisig adalah praktik keamanan standar di DeFi, di mana ide dasarnya adalah bahwa mengkompromikan satu orang saja tidak cukup untuk mencuri dana.
Namun, penyerang tidak perlu membobol kunci siapa pun. Yang mereka butuhkan hanyalah dua tanda tangan, dan tampaknya mereka mendapatkannya melalui apa yang Drift gambarkan sebagai “persetujuan transaksi yang tidak sah atau disalahartikan,” artinya para penandatangan kemungkinan besar mengira mereka menyetujui transaksi rutin.
