2026年4月1日,Solana生态核心协议Drift遭遇严重安全事件,造成约2.85亿美元资产流失。初步分析显示,该攻击并非突发性漏洞利用,而是一场至少酝酿六个月的系统性情报行动,具备高度组织化特征。
事件源头可追溯至2025年秋季的一场大型加密行业峰会。一名自称来自量化机构的人员主动接触Drift开发团队,开启了一场跨越多国、持续数月的深度互动。该个体展现出专业背景与对协议架构的深刻理解,逐步建立可信身份。
双方通过Telegram建立沟通渠道,围绕策略设计、保险库集成等议题展开多轮实质性讨论。这些行为模式与真实交易公司合作路径高度一致,有效规避了常规审查警报。
自2025年12月至2026年1月,该实体在Drift平台成功部署一个生态系统保险库。流程包括提交正式申请、参与多轮技术评审,并注入超过100万美元自有资本。这一举动使其成为协议内部可验证的活跃参与者,为后续攻击铺平道路。
2026年2月至3月间,双方在多个行业会议中进行线下会面,关系已发展至近乎伙伴关系。此时,攻击者已从外部观察者转变为“内部合作者”,其共享项目链接、工具资源等行为均符合正常商业协作惯例,反而成为恶意投递的关键通道。
攻击发生后,取证发现三种潜在入侵方式:一为贡献者克隆了伪装成保险库前端工具的恶意代码仓库;二为某成员下载了标示为钱包应用的TestFlight测试版程序;三则涉及利用VSCode与Cursor编辑器中的未公开漏洞,在打开文件时静默执行任意代码,且无任何提示。
该漏洞早在2025年底已被披露,但仍在部分开发环境中广泛存在,构成重大安全隐患。
一旦获得管理权限,攻击者在不到12分钟内即完成资金转移。协议总锁定价值在一小时内由约5.5亿美元暴跌至3亿美元以下。DRIFT代币价格在事件期间跌幅超40%。经PeckShield核实,总损失超过2.85亿美元,占当时资产总量逾半。
Drift团队在社交媒体紧急声明:“此非愚人节玩笑,请保持警惕。”所有存款取款功能随即暂停。
攻击得手后,资金迅速被转换为USDC和SOL,并通过Circle的跨链传输协议(CCTP)从Solana桥接至以太坊。随后,部分资产转化为ETH,最终积累达129,066枚,估值约2.73亿美元。
另有部分SOL流入HyperLiquid与Binance等主流平台,通过分散操作提升追踪难度。
链上分析师指出,大量资金在美国工作时间完成跨链转移,却未触发冻结机制。对比此前Circle在民事案件中冻结多个热钱包的先例,表明其具备相应能力与法律依据,但本次未能及时干预,引发对监管效率的广泛质疑。
调查认为此次行动与2024年10月Radiant Capital攻击属同一主体——朝鲜关联威胁组织UNC4736,亦称AppleJeus或Citrine Sleet。
链上资金流可回溯至与前次攻击相关的钱包地址,且行为模式存在显著重叠。尽管现场出现的人员非朝鲜籍公民,但此类高级别行动通常由第三方中间人执行,以实现掩护与责任隔离。
截至报告发布,Drift已全面冻结协议功能,移除受感染多签钱包,并在交易所及桥接服务商处标记攻击者账户。同时,已聘请Mandiant作为核心取证机构,深入分析受损设备数据。
团队强调公开细节旨在警示整个生态,推动防御体系升级。
本事件揭示:真正的攻击不在代码层面,而在人际关系之中。攻击者用六个月时间构建信誉、注入真实资金、参与会议,最终在信任链条最牢固的时刻发动突袭。
伪造的代码仓库与测试应用之所以奏效,正是因为它们被“合理”地嵌入了已被验证的信任环境。对DeFi而言,保护边界必须扩展至每一位贡献者的终端设备、每一个第三方依赖项以及每一次行业会议中的交流。
UNC4736已两次采用相同策略:先于2024年攻陷Radiant Capital,再于2026年重演于Drift,证明其具备持续迭代的资源与耐心,对整个去中心化金融生态构成持久威胁。
声明:文章不代表币圈网立场和观点,不构成本站任何投资建议。内容仅供参考!
免责声明:本站所有内容仅供用户学习和研究,不构成任何投资建议.不对任何信息而导致的任何损失负责.谨慎使用相关数据和内容,并自行承担所带来的一切风险.