Drift Protocol周六发布了关于4月1日漏洞攻击的最详细报告,该攻击从基于Solana的永续合约交易所中盗取了约2.8亿美元。报告描述了一个被称为”结构化情报行动”的攻击,该行动耗时约六个月进行策划。
快速要点
• Drift Protocol周六发布后续报告,将其2.8亿美元的4月1日漏洞攻击与始于2025年秋季加密货币会议的大约六个月情报行动联系起来
• 攻击者伪装成量化交易公司,在多个国际会议上培养Drift贡献者,并存入超过100万美元自有资金作为掩护
• Drift和SEAL 911团队以”中高”置信度评估,该行动由同一朝鲜支持的黑客组织执行,该组织也应对2024年10月的Radiant Capital黑客攻击负责
攻击详情
根据更新报告,最初接触发生在2025年秋季左右,当时自称量化交易公司的个人在主要加密货币会议上接触Drift贡献者,并表示有兴趣在该协议上集成。第一次会议时建立了Telegram群组,随后几个月,这些个人继续在多个国家的行业活动中与Drift贡献者面对面会面。
在2025年12月至2026年1月期间,该组织在Drift上建立了生态系统金库,填写标准策略表格,与贡献者进行多次工作会议,并存入超过100万美元的自有资金。Drift表示,这种行为与合法交易公司通常如何与协议集成一致。
漏洞攻击后对受影响设备和通信历史的法证审查指出,这种关系可能是入侵途径。Drift表示,该组织的Telegram聊天记录和相关恶意软件在攻击发生时被清除。
两种可能的攻击向量
Drift的初步评估确定了两种可能的入侵方法。一名贡献者可能在克隆该组织共享的代码仓库后被感染,该仓库以部署其金库前端为借口。第二名贡献者被诱导安装通过苹果TestFlight构建的应用程序测试版,该组织将其描述为他们的钱包产品。
对于仓库路径,Drift标记了VS Code和Cursor漏洞,安全研究人员在2025年12月至2026年2月期间公开警告过该漏洞,即只需在编辑器中打开文件、文件夹或仓库即可静默执行任意代码,无需用户提示。
漏洞攻击本身不涉及智能合约错误。Drift将其描述为”涉及持久性nonces的新颖攻击”,这是Solana的合法原语,允许交易预先签名并在稍后执行。攻击者提前获得多重签名批准,可能是通过社会工程学或交易误导,然后使用预先签名的授权夺取安全委员会管理权限,并在几分钟内耗尽协议资金。
朝鲜关联
Drift表示,在SEAL 911团队的支持下,他们以”中高置信度”评估该行动由同一国家支持的朝鲜黑客执行,这些黑客对2024年10月的5000万美元Radiant Capital黑客攻击负责。Mandiant将其归因于UNC4736,也称为AppleJeus或Citrine Sleet,这是一个与朝鲜侦察总局有联系的黑客组织。
根据Drift的说法,这种联系基于链上和操作重叠。用于策划和测试Drift行动的资金流可追溯到Radiant攻击者,并且在整个活动中部署的角色与已知的朝鲜关联活动有可识别的重叠。
值得注意的是,Drift强调在会议上亲自出现的个人不是朝鲜国民。Drift表示,在这个级别操作的朝鲜威胁行为者已知会部署第三方中介来处理关系建设工作,并且此行动中使用的个人资料具有完整的就业历史、公共凭证和专业网络,旨在经受住交易对手的尽职调查。
Drift当前状态
Drift表示所有剩余的协议功能已被冻结,受损钱包已从多重签名中移除,攻击者地址已标记给交易所和桥接运营商。链上侦探ZachXBT单独批评稳定币发行商Circle反应缓慢,指控攻击者在六小时内通过CCTP将约2.32亿USDC从Solana桥接到以太坊,没有任何资金被冻结。
Drift漏洞攻击是2026年迄今为止最大的DeFi黑客攻击,也是Solana历史上第二大安全事件,仅次于2022年3.25亿美元的Wormhole桥接攻击。
Drift感谢独立研究人员和SEAL 911成员Taylor Monahan、tanuki42_、pcaversaccio和Nick Bax在识别攻击者方面的工作,并敦促任何认为可能被同一组织针对的团队直接联系SEAL 911。
本网站所有区块链相关数据与资料仅供用户学习及研究之用,不构成任何投资建议。转载请注明出处:https://www.lianxinshe666.com/2026/04/06/drift-protocol%e5%b0%862-8%e4%ba%bf%e7%be%8e%e5%85%83%e6%bc%8f%e6%b4%9e%e6%94%bb%e5%87%bb%e5%bd%92%e5%9b%a0%e4%ba%8e%e6%9c%9d%e9%b2%9c%e9%bb%91%e5%ae%a2%e9%95%bf%e8%be%be%e5%85%ad%e4%b8%aa%e6%9c%88/
