#DriftProtocolHacked DriftProtocolHacked: 北朝鲜关联DeFi劫掠的全面分析

简要版本：2026年4月1日#DriftProtocolHacked 没错，是真实攻击，不是玩笑$285M ，Solana最大永续交易所Drift Protocol在被称为DeFi史上最复杂的社会工程攻击中损失了**约(百万**。攻击者花了**六个月**建立信任，面对面会晤团队，存入超过)百万的自有资金，最终攻破签名机器，在12分钟内洗劫了协议。

---

1. 时间线：事件发展过程

攻击执行 $285 2026年4月1日$1

· 总共被盗：约(百万，涉及多个池：JLP )~$155.6M$285 ，USDC、SOL、cbBTC、wBTC、WETH及表情包币
· 方法：攻击者激活预签名的“持久随机数”交易，将假CVT代币列为有效抵押品，提升提现限额至最大，然后全部洗劫
· 速度：31笔提现交易在约12分钟内完成
· 即时兑换：被盗资产通过Jupiter换成约129,000 ETH (~$278M)，桥接到以太坊

立即响应

· 存取款立即冻结
· Drift确认：“这不是愚人节玩笑”
· 所有协议功能暂停；被攻破的钱包从多签中移除

---

2. 六个月渗透：一场结构化情报行动

这不是代码漏洞或随机黑客。是一场全面的间谍行动。

第一阶段：首次接触 (2025年秋)

冒充量化交易公司的人士在一次大型加密会议上接触Drift贡献者。他们技术娴熟、可信，立即建立了Telegram群组。

第二阶段：建立信任 (2025年12月至2026年1月)

· 上线看似合法的生态系统金库
· 存入超过(百万的自有资金以建立信誉
· 多次关于交易策略和集成的工作会话
· 在多个国家的会议上与Drift贡献者面对面会晤

第三阶段：技术妥协 )2026年2-3月$1

识别出两条可能的攻击路径：

路径 方法
恶意仓库 攻击者以部署金库前端为由共享代码仓库。已知的VSCode/Cursor漏洞 (2025年12月至2026年2月) 允许在仅打开文件夹时静默执行任意代码——无需点击，无警告
TestFlight应用 贡献者被说服安装苹果TestFlight中的“钱包应用”(（绕过App Store安全审查）)

一旦机器被攻破，攻击者通过交易误导获得多签批准。

第四阶段：陷阱布置 (2026年3月27日)

Drift将其安全理事会迁移到一个2/5多签，设有0秒时间锁——意味着管理操作可以立即执行，无延迟。预签交易已就位，等待激活。

第五阶段：执行 (2026年4月1日)

· 攻击者激活休眠交易
· 攻击开始时，Telegram聊天和恶意软件被彻底清除
· 12分钟内洗劫完毕

---

3. 归属：朝鲜UNC4736(拉撒路子组)

以中高置信度，Drift和SEAL 911团队将此归咎于UNC4736 (即AppleJeus、Citrine Sleet、Gleaming Pisces)——也是2024年10月Radiant Capital (黑客事件的幕后团伙。

与朝鲜有关的证据：

· 链上重叠：用于策划Drift行动的资金流追溯到Radiant Capital攻击者
· 操作模式：采用与2022年Ronin桥黑客)$625M$50M 相同的耐心和针对人类的策略
· Tornado Cash源头：攻击始于3月11日从Tornado Cash提取ETH
· 平壤时间戳：CVT部署时间与平壤时间约09:00一致
· 洗钱速度：立即跨链转换为ETH，无交易所冻结

关键说明：面对面的人士并非朝鲜国民

“在会议上出现的个人并非朝鲜国籍。朝鲜威胁行为者在此级别通常会部署第三方中介来处理关系建立。”

这些中介已构建完整身份——包括就业历史、公开凭证、职业网络——旨在经得起对手方尽职调查。

---

4. 技术细节：攻击是如何运作的

“持久随机数”攻击

Solana有一项合法功能叫做持久随机数，允许交易预签名后再执行。攻击者：

1. 让多签签名者批准看似常规的交易
2. 这些批准变成了备用的授权密钥
3. 当3月27日解除时间锁时，预签交易立即激活

伪造抵押方案

1. 3月11日：攻击者从Tornado Cash提取ETH
2. 3月12日：部署“CVT”(碳投票)代币
3. 3周：在Raydium上注入少量流动性，利用洗盘交易维持约1美元的价格
4. 4月1日：Drift的预言机将CVT视为合法抵押品→攻击者存入毫无价值的CVT→协议以其发行真实资产

---

5. 后果：谁受到影响

直接损失：约(百万

资产 数量 价值)美元$285
JLP 代币 ~41.7M ~$155.6M
USDC 多种 ~$80-100M
SOL 多种 重要
cbBTC/wBTC/WETH 多种 剩余

受影响的协议(传染)

· Prime Numbers Fi：损失数百万
· Carrot Protocol：在影响50% TVL后暂停铸币/赎回
· Pyra Protocol：完全禁用提现
· Piggybank：损失106,000美元(已由金库偿还)

Jupiter回应

“Jupiter Lend不涉及Drift市场。JLP资产由基础资产完全支持。这是Solana DeFi的艰难日子。”

未受影响的代币

· Unitas Protocol
· Meteora
· Perena (虽然其中立交易管理的JLP金库受到影响)

---

6. 稳定币争议：Circle与Tether

出现一条主要次要新闻：为什么Circle没有冻结被盗的USDC？

数字情况

· (百万USDC通过Circle的跨链转账协议)CCTP#DriftProtocolHacked 从Solana桥到以太坊
· 这在六小时内无任何干预完成

对比情况

协议响应
USDT0 $230 Tether(：90分钟内停止了Solana上的跨链通信
Circle CCTP：无干预记录；协议无需许可运行

批评声音

链上分析师ZachXBT公开批评Circle未采取行动。行业观察者指出，这暴露了设计上的根本权衡：应急响应的中心化控制)USDT0(与去中心化的许可制)CCTP(。

作为背景，Curve创始人Michael Egorov指出：“如果涉及朝鲜黑客，恢复的可能性为零。他们从不合作，也不怕执法。”

---

7. Drift的应对与恢复措施

立即行动 )4月1-3日(

· 所有协议功能冻结
· 被攻破的钱包从多签中移除
· 攻击者地址已标记并通知交易所和桥接运营商
· 向黑客钱包发送链上消息：“我们准备好对话”

谈判尝试 )4月3日(

Drift向持有被盗资金的四个以太坊钱包发送链上消息，内容为：

“已确认与此次漏洞相关的关键人员信息。社区方面，待第三方归属确认后，Drift将公布更多更新。”

唯一回应？一个持有)ETH的随机钱包回复：“给我(百万，帮我搞定Drift团队。”*

取证调查

· 委托Mandiant进行取证
· SEAL 911团队 )Taylor Monahan、tanuki42_、pcaversaccio、Nick Bax$200 负责识别攻击者
· 正式归属待设备取证完成

tanuki42_的说法

“这是我在加密领域见过的最复杂、最有针对性的攻击，疑似由朝鲜发起。招募多名中介，让他们在重大加密会议上针对特定人物，手段极其野蛮。”

---

8. 这对DeFi意味着什么

残酷的真相

“如果攻击者愿意花六个月、投入$10 百万、面对面会晤团队、存入真实资金、耐心等待——那么，什么安全模型能检测到这种行为？”

经验教训

1. 时间锁不是可选项。像Drift在3月27日那样移除时间锁，会让复杂攻击变成12分钟的现金提取
2. 社会工程>代码漏洞。最先进的代码审计也无法阻止人类打开恶意VSCode文件夹或安装TestFlight应用
3. 权限安全与去权限安全的权衡。USDT0与CCTP的对比，展现了稳定币设计中的真实取舍
4. 朝鲜将持续存在。Elliptic在2026年第一季度追踪到被盗资金超过(，其中朝鲜关联行为者近年来负责超过65亿美元

Drift的未来走向

· 除非资金追回或出现重大保障措施，否则可能走向清算、破产或诉讼
· 4月3-5日尚未公布全面赔偿方案
· 若涉及朝鲜，恢复概率为零：据Michael Egorov说

---

9. 关键钱包与链上数据

攻击者ETH钱包 )Post-bridge$1

· 0xAa843eD65C1f061F111B5289169731351c5e57C1
· 0xd3feed5da83d8e8c449d6cb96ff1eb06ed1cf6c7
· 0x0fe3b6908318b1f630daa5b31b49a15fc5f6b674

持有总量：约105,969 ETH (~$226M)

Drift链上消息发送者：

· 0x0934faC45f2883dd5906d09aCfFdb5D18aAdC105

---

最终总结

这不是一次黑客攻击，而是一场由国家发起的持续六个月的敌对情报行动，针对一个DeFi协议。攻击者：

· 利用假冒的第三方中介，身份完美
· 在多个国家的会议上面对面接触目标
· 存入超过$1M的真实资金作为掩护
· 利用受信任的开发工具$300M VSCode(和苹果TestFlight
· 精准时机执行12分钟内的洗劫

如果DeFi想要生存，行业必须接受：社会工程和国家行为者已成为主要威胁模型——不仅仅是智能合约漏洞。

“调查显示，使用的身份资料都已完全构建，包括就业历史、公开凭证和职业网络，能经得起合作关系中的审查。”——Drift Protocol )(