Decentralized finance atau DeFi dibangun untuk membuka akses ke layanan keuangan tanpa perantara, tetapi sektor ini juga menjadi sasaran empuk bagi aktor negara. Salah satu ancaman yang paling disorot datang dari Lazarus Group, unit siber utama Korea Utara, yang diduga menyusup ke berbagai proyek DeFi lewat rekayasa sosial dan identitas palsu.
Isu ini semakin mencuat setelah serangan terhadap Drift Protocol dikaitkan dengan pelaku yang berafiliasi dengan Korea Utara. Dalam laporan yang dirujuk, serangan itu disebut merugikan sekitar $285 juta dan memperkuat kekhawatiran bahwa ancaman terbesar di DeFi bukan hanya celah kode, melainkan orang di balik layar.
Penyusupan lewat kepercayaan, bukan sekadar eksploitasi kode
Lazarus Group, yang juga dilacak dengan nama UNC4736, AppleJeus, atau Citrine Sleet, dinilai tidak hanya mengandalkan serangan teknis. Kelompok ini justru unggul dalam manipulasi manusia, termasuk dengan menyamar sebagai pengembang berpengalaman atau freelancer IT yang memakai identitas curian.
Mereka diketahui melamar pekerjaan jarak jauh di perusahaan kripto, ikut konferensi industri, lalu membangun hubungan secara bertahap lewat Telegram atau pertemuan langsung. Setelah masuk, akses ke repositori, sistem internal, atau proses tata kelola bisa dimanfaatkan untuk menyisipkan kerentanan, menyebarkan malware, atau mencuri kredensial.
Mengapa “Kim Jong Un test” muncul
Di tengah kekhawatiran itu, sebagian tim mulai memakai metode penyaringan tak biasa yang disebut “Kim Jong Un test”. Dalam praktiknya, kandidat saat wawancara dapat diminta memberikan komentar negatif terhadap pemimpin Korea Utara, lalu reaksinya diamati.
Menurut para perekrut yang dikutip dalam laporan, calon yang dicurigai sering kali menghindar, ragu-ragu, atau langsung menghentikan percakapan. Namun, ada juga kandidat yang menjawab normal, sehingga tes ini tidak bisa berdiri sendiri sebagai satu-satunya alat deteksi.
Sebuah video yang ramai dibahas pada April 2026 juga disebut memperlihatkan kandidat tiba-tiba memutus panggilan setelah mendapat pertanyaan serupa. Peristiwa itu memperluas diskusi di kalangan perekrut dan pengembang kripto tentang betapa rapuhnya proses seleksi jika hanya mengandalkan verifikasi administratif.
Tanda bahaya yang perlu diwaspadai
Beberapa proyek kini menggabungkan cara tersebut dengan pemeriksaan standar. Langkah-langkah ini mencakup screening sanksi, verifikasi latar belakang, audit kode, dan peninjauan ulang pola kerja kandidat.
Berikut indikator yang kerap diperhatikan tim keamanan saat merekrut di sektor DeFi:
- Profil kerja yang terlalu generik atau sulit diverifikasi.
- Riwayat kontribusi yang tidak konsisten dengan keahlian yang diklaim.
- Penolakan terhadap proses wawancara video atau verifikasi identitas.
- Perilaku menghindar saat topik sensitif dibahas.
- Aktivitas kolaborasi yang terlalu cepat mendorong akses ke sistem internal.
Jejak infiltrasi yang lebih luas dari satu proyek
Laporan dari peneliti keamanan MetaMask, Taylor Monahan, juga memperingatkan bahwa pekerja IT asal Korea Utara telah tertanam di puluhan proyek DeFi selama beberapa tahun. Dalam beberapa kasus, kontribusi mereka awalnya tampak sah dan bahkan membantu pengembangan kode.
Beberapa proyek yang disebut pernah memiliki kontributor yang kemudian dikaitkan dengan jaringan DPRK antara lain SushiSwap, THORChain, Yearn Finance, dan Fantom. Meski demikian, atribusi tiap kasus disebut berbeda-beda, sehingga penilaian harus tetap berhati-hati.
Pola ini menunjukkan bahwa ancaman tidak selalu datang dalam bentuk serangan langsung. Dalam banyak kasus, penyusup justru masuk perlahan, membangun kepercayaan, lalu memanfaatkan posisi di dalam ekosistem sebelum serangan besar terjadi.
Kerugian yang terus membesar
Dampak finansial dari operasi siber terkait Korea Utara terus tumbuh. Chainalysis melaporkan bahwa peretas Korea Utara mencuri rekor $2,02 miliar dalam kripto sepanjang 2025, naik 51% dari tahun sebelumnya, dengan total historis mencapai $6,75 miliar.
Laporan yang sama juga menyebut laju serangan tetap tinggi, dengan pencurian lebih dari $300 juta pada kuartal pertama 2026. Dana hasil rampokan itu kemudian disebut dicuci melalui mixer, swap DeFi, dan dompet bertingkat sebelum dipakai untuk mendukung program nuklir dan rudal, menurut penilaian otoritas Amerika Serikat dan PBB.
Mengapa DeFi jadi sasaran empuk
DeFi tumbuh cepat karena sifatnya yang terbuka, lintas batas, dan minim izin. Karakter ini memberi keuntungan bagi pengguna, tetapi juga membuat proses perekrutan, audit, dan pengawasan keamanan sering tertinggal dari laju ekspansi proyek.
Dalam lingkungan seperti ini, satu akun developer yang tampak meyakinkan bisa membuka jalan ke banyak titik akses. Jika trust menjadi titik lemah utama, maka keamanan tidak lagi cukup hanya mengandalkan kode yang bersih, karena risiko juga datang dari orang yang berhasil masuk ke dalam tim.
Pelajaran dari kasus besar sebelumnya
Serangan terhadap Ronin Network pada 2022 dengan kerugian $625 juta sudah lama menjadi pengingat bahwa akses yang dikompromikan bisa lebih berbahaya daripada bug smart contract. Pola serupa kini kembali terlihat pada serangan terhadap protokol yang tumbuh cepat, terutama di ekosistem Solana dan jaringan DeFi beraktivitas tinggi lainnya.
Kasus Drift memperlihatkan bahwa penyerang dapat menghabiskan waktu berbulan-bulan membangun relasi sebelum menyisipkan kode berbahaya. Targetnya bukan hanya sistem transaksi, tetapi juga alat developer, kredensial sensitif, dan kunci akses yang membuka banyak pintu lain di dalam infrastruktur proyek.
Langkah pengamanan yang kini makin umum
Sejumlah tim mulai menambah lapisan pengamanan dalam proses perekrutan dan kolaborasi. Praktik yang makin sering dipakai antara lain wawancara video, pemeriksaan identitas berlapis, audit kode rutin, dan pembatasan akses bertahap untuk kontributor baru.
Pendekatan itu tidak menjamin pencegahan total, tetapi dapat mempersempit ruang gerak penyusup yang mengandalkan manipulasi sosial. Di saat yang sama, para pengembang juga mulai memandang setiap repositori GitHub, pesan konferensi, dan obrolan kerja sebagai potensi vektor risiko.
Di tengah meningkatnya serangan dan makin canggihnya taktik infiltrasi, pertanyaan utama di DeFi kini bukan lagi sekadar bagaimana menambal kode, tetapi bagaimana memastikan orang yang diberi kepercayaan benar-benar layak mendapat akses.
-
-
-
-
