今年最大的DeFi黑客攻击发生在上周4月1日,Solana网络上最大的永续合约DEX之一Drift Protocol遭遇攻击,约2.86亿美元从协议中消失。此次攻击与朝鲜相关的黑客有关,整个攻击过程仅持续10秒。
然而,这次攻击令人震惊的是其精心策划的性质。没有代码被破坏,也没有智能合约存在漏洞。来自Elliptic和TRM Labs等加密货币取证公司的调查实际上指向了一个更加精心策划的攻击。
朝鲜攻击者花了三周时间制造了一个名为CarbonVote的假代币,投入几千美元使其看起来真实可信,同时通过社交工程手段让Drift五个多签安全委员会签名者中的两人预先签署了他们不完全理解的隐藏授权。
随后,他们利用Solana的”持久nonce”功能将这些签名保留了一周多时间,等待合适的时机。4月1日只需要一笔交易。
正如Elliptic所指出的,这次攻击是今年第18起与朝鲜相关的加密货币黑客攻击,从该领域窃取了约3亿美元。攻击发生四天后,Ledger的CTO公开强调了此次攻击的惊人性质,并表示AI正在将此类攻击的成本”降至零”。
这一说法非常重要,因为Drift攻击是这些操作现在如何运作的典型案例。攻击者不需要零日漏洞或顶级密码学家。他们只需要耐心、一个令人信服的假代币和两个可以被操纵的人。
这次攻击实际上暴露了当今DeFi的结构性漏洞。DeFi正在建立由可能被欺骗的小群体保护的数十亿美元基础设施,而对手在这方面正变得越来越擅长。
朝鲜如何在10秒内窃取2.86亿美元
Drift协议攻击是一次复杂的利用,跨越了三周的准备工作。彭博社于4月1日首次报道了此次入侵,当时Drift协议确认约2.86亿美元的用户资产已被抽走。
整个计划实际上始于3月11日,攻击者在平壤时间上午9点左右从Tornado Cash提取了10个ETH,并用它部署了假代币CarbonVote(CVT)。这是一个完全虚构的资产,投入了几千美元的流动性,并通过洗盘交易保持活跃。
在接下来的两周内,即3月23日至3月30日期间,攻击者打开了持久nonce账户,这是Solana网络上的一个合法功能,允许交易预先签署并无限期保存而不会过期。
在此期间,攻击者通过社交工程手段让Drift五个安全委员会多签签名者中的两人批准了看起来正常的交易,但正如TRM Labs后来确认的,这些交易携带了对关键管理控制的隐藏授权。
最后一块拼图在3月27日落下,当时Drift将其安全委员会迁移到新的2/5阈值配置,零时间锁,正如BlockSec所报告,这基本上移除了唯一可能让任何人发现即将发生事情的延迟。
到4月1日到来时,陷阱已经装载了数天。4月1日,攻击者使用那些预先签署的批准将CarbonVote列为有效抵押品,通过操纵预言机定价将其价值膨胀到数亿美元,并夺取了治理权。
从那里开始,31笔提款交易在几秒钟内清空了Drift的保险库。最大的一笔单独包括价值超过1.55亿美元的JLP代币,以及数千万美元的USDC、SOL、ETH和其他流动性质押代币被抽走,协议上的总锁定价值立即从约5.5亿美元暴跌至不到2.5亿美元。
这次攻击的速度只是这个故事的一部分。一个长达三周的详细计划以10秒的攻击结束,显示了治理(而非代码)如何轻易成为DeFi中最薄弱的环节。
朝鲜2026年的3亿美元加密货币战争
据报道,这次由朝鲜相关攻击者实施的攻击绝非孤立事件。事实上,如果你查看过去几年一些最高调的黑客攻击,很明显这是更大规模、国家驱动的运动的一部分。
仅今年一年,Elliptic就报告称,Drift攻击使其成为第18起归因于朝鲜的加密货币盗窃案,使今年迄今为止被抽走的资金总额超过3亿美元。
如果你看今年以外的情况,来自单一国家的此类攻击规模变得非常难以忽视。去年,根据TRM Labs的数据,朝鲜相关行为者窃取了19.2亿美元,而Chainalysis将这一数字定为20.2亿美元加密货币。
这标志着该组织进行的黑客攻击同比增长51%,并将其有史以来的盗窃总额推至67.5亿美元。朝鲜在2025年占所有服务入侵的76%,创下纪录,这意味着一个国家对该行业发生的大部分盗窃负责。
在此背景下,Drift攻击(现在是Solana生态系统中继2022年Wormhole漏洞之后的第二大攻击)符合一种攻击模式。定义这种模式的是持续性。2025年2月的Bybit黑客攻击(历史上最大的加密货币盗窃案)具有几乎相同的设置,包括社交工程、受损访问和协调的资金交换。
TRM Labs指出,朝鲜运营商越来越依赖”中国洗衣店”网络,在几小时内将资金跨链桥接。Drift攻击实际上展示了一个由国家支持的团队运行的多周操作体系,包括侦察、人类操纵和已经到位的全球洗钱基础设施。
AI正将攻击成本”降至零”:Ledger的CTO警告
在Drift资金被抽走四天后,Ledger CTO Charles Guillemet告诉CoinDesk一些重新构建了整个事件的事情。”发现漏洞并利用它们变得非常、非常容易,”他说。”成本正在降至零。”
Guillemet没有点名Drift,但他描述了其确切的机制。AI不仅帮助攻击者更快地发现代码漏洞,还使社交工程更具说服力,网络钓鱼更加个性化,并使朝鲜运营商在Drift上花费三周做的准备工作成本降低且可扩展性提高一个数量级。
他还指出了防御方面的一个复合问题:随着更多开发人员依赖AI生成的代码,漏洞可能比人类审查员发现它们传播得更快。”没有’使其安全’的按钮,”他说。”我们将产生大量本质上不安全的代码。”
过去一年,黑客攻击和漏洞利用造成了14亿美元的加密货币损失,Guillemet的预测是曲线会变得更陡峭,而不是更平坦。Drift攻击是该警告最清晰的证明。攻击者从未接触代码,他们针对的是持有密钥的两个人。
如果AI能生成足够令人信服的借口来欺骗多签签名者批准他们不完全理解的交易,那么它就不需要破坏智能合约。Guillemet预计行业将分裂:像钱包和核心协议这样的关键系统将大量投资于安全并适应,但更广泛的软件生态系统的大部分可能难以跟上步伐。
他推荐的修复方案——使用数学证明的形式验证、私钥的硬件隔离——在结构上是合理的,但需要大多数DeFi协议(包括Drift)尚未建立的一定程度的制度纪律。”当你有一个不暴露在互联网上的专用设备时,它在设计上就更安全,”他说。Drift安全委员会没有这样的缓冲。两个签名、零时间锁和一个假代币就是全部所需。
接下来会发生什么:Drift的恢复和行业响应
Drift Protocol接下来会发生什么远未明朗,早期信号已经在分裂行业。在事件发生后,Anatoly Yakovenko提出了一个潜在的恢复路径:向受影响用户发行IOU式代币空投,模仿Bitfinex在2016年7200万美元黑客攻击后的做法。
这个想法很简单:现在社会化损失,如果协议恢复,随着时间的推移偿还用户。但背景非常不同。Drift的TVL几乎减半,存款和取款仍然暂停,与Bitfinex不同,它缺乏集中式收入引擎来支持这些负债。
这导致了立即的反对:在这种情况下,IOU代币有可能成为纯粹的投机工具,没有明确的赎回路径。与此同时,链上活动正在引发新的担忧。Onchain Lens标记了一个与Drift团队相关的钱包在漏洞利用后不久将5625万个DRIFT代币(约244万美元)转移到包括Bybit和Gate在内的中心化交易所,这一举动通常预示着抛售压力,并加剧了在流动性危机期间内部人员定位的猜测。
与此同时,攻击者的资金已经被桥接到跨链,最显著的是以太坊,随着每一天过去,有意义的恢复概率都在降低。更广泛的影响是,这一事件不会以Drift结束。它可能会加速围绕DeFi治理本身的行业范围审查,从多签安全标准和时间锁要求到预言机设计和执行控制。
接下来会发生什么取决于三个变量:Drift是否能提出可信的恢复计划,是否有任何部分资金可以被追踪或冻结,以及这是否最终迫使结构改革,还是成为行业继续前进的又一个昂贵教训。
本网站所有区块链相关数据与资料仅供用户学习及研究之用,不构成任何投资建议。转载请注明出处:https://www.lianxinshe666.com/2026/04/06/%e6%9c%9d%e9%b2%9c%e5%88%b6%e9%80%a0%e5%81%87%e4%bb%a3%e5%b8%81%e7%9b%97%e5%8f%962-86%e4%ba%bf%e7%be%8e%e5%85%83%ef%bc%9aai%e6%ad%a3%e8%ae%a9%e6%ad%a4%e7%b1%bb%e6%94%bb%e5%87%bb%e6%88%90%e6%9c%ac/
