#DriftProtocolHacked DriftProtocolHacked: 一份#DriftProtocolHacked 完整解析北韓相關DeFi劫案

簡短版本：在2026年4月1日$285M 沒錯，是真實攻擊，不是玩笑(，Solana最大永續交易所Drift Protocol在此次被稱為DeFi史上最複雜的社交工程攻擊中損失約)百萬$285 美元。攻擊者花了$1 六個月(建立信任、親自會面團隊、存入超過)百萬$285 美元的資金，最終入侵簽名機器，在短短12分鐘內洗劫了整個協議。

---

1. 時間線：事件如何展開

攻擊執行 (2026年4月1日)

· 總損失：約(百萬)美元，涉及多個資金池：JLP (約$155.6M)、USDC、SOL、cbBTC、wBTC、WETH及迷因幣
· 方法：攻擊者啟用預簽“耐久隨機數”交易，列出假CVT代幣為有效抵押品，提高提款限制至最大，並洗劫所有資產
· 速度：31筆提款交易約在12分鐘內完成
· 即時兌換：竊取資產透過Jupiter換成約129,000 ETH (約$278M)，並橋接到以太坊

立即反應

· 存取/提款立即凍結
· Drift確認：「這不是愚人節玩笑」
· 所有協議功能暫停；被入侵的錢包從多重簽名中移除

---

2. 六個月滲透：一場有組織的情報行動

這不是程式漏洞或隨機駭客行動，而是一場全面的間諜行動。

第一階段：首次接觸 $1 2025年秋季(

假扮量化交易公司的人士在大型加密貨幣會議接觸Drift貢獻者。他們技術嫻熟、可信，立即建立Telegram群組。

第二階段：建立信任 )2025年12月至2026年1月(

· 上線一個看似合法的Ecosystem Vault於Drift
· 存入超過)百萬(美元的自有資金以建立信譽
· 多次策略與整合的工作會議
· 在多國會議中與Drift貢獻者面對面會晤

第三階段：技術入侵 )2026年2月至3月(

兩個可能的攻擊向量：

向量 方法
惡意倉庫 攻擊者以部署Vault前端為由分享一個程式碼庫。已知的VSCode/Cursor漏洞 )2025年12月至2026年2月( 允許在打開資料夾時靜默執行任意程式碼—無需點擊或警告
TestFlight應用 攻擊者說服受害者安裝Apple TestFlight上的測試版“錢包應用” )繞過App Store安全審查(

一旦機器被入侵，攻擊者便透過交易誤導獲得多重簽名批准。

第四階段：設下陷阱 )2026年3月27日(

Drift將安全委員會轉移至一個2/5多重簽，且設有0秒鎖定—意味著管理操作可即時執行。預簽交易已經就緒，等待觸發。

第五階段：執行 )2026年4月1日$50M

· 攻擊者啟動沉睡的交易
· 攻擊一旦啟動，Telegram聊天與惡意軟體立即被清除
· 12分鐘內洗劫完畢

---

3. 歸屬：北韓UNC4736 (拉撒路子組)

以中高信心，Drift與SEAL 911團隊將此歸因於UNC4736 (又名AppleJeus、Citrine Sleet、Gleaming Pisces)—與2024年10月Radiant Capital $285 駭客事件相同團體。

與朝鮮相關證據：

· 區塊鏈重疊：資金流向追蹤至Radiant Capital攻擊者
· 操作模式：與2022年Ronin橋樑駭客（損失$625M）相同的耐心與針對人類的策略
· Tornado Cash起點：攻擊始於3月11日從Tornado Cash提取ETH
· 平壤時間戳：CVT部署時間與平壤時間約09:00同步
· 洗錢速度：立即跨鏈轉換成ETH，未被CEX凍結

重要說明：面對面的人員並非北韓國民

“出席會議的個人並非北韓國民。運作在此層級的朝鮮威脅行為者，通常會部署第三方中介來處理關係建立。”

這些中介已建立完整身份—就業歷史、公開證明、專業網絡—旨在抵擋對手的盡職調查。

---

4. 技術解析：攻擊如何運作

“耐久隨機數”攻擊

Solana具有一個合法功能，稱為耐久隨機數，可允許交易預簽並稍後執行。攻擊者：

1. 讓多重簽名簽署人批准看似例行的交易
2. 這些批准成為實時授權金鑰，保留待用
3. 當3月27日移除時間鎖時，預簽交易立即啟動

假抵押方案

1. 3月11日：攻擊者從Tornado Cash提取ETH
2. 3月12日：部署“CVT”(碳投票)代幣
3. 3週：在Raydium上提供少量流動性，利用洗交易維持約$1.00價格
4. 4月1日：Drift的預言機將CVT視為合法抵押品→攻擊者存入毫無價值的CVT→協議以此發行真實資產

---

5. 事後反應：誰受到影響

直接損失：約(百萬)

資產 金額 價值(美元)
JLP代幣 約41.7M 約$155.6M
USDC 多種 約$80-100M
SOL 多種 重要
cbBTC/wBTC/WETH 多種 剩餘

受影響協議 (傳染)

· Prime Numbers Fi：損失數百萬
· Carrot Protocol：在50% TVL受影響後暫停鑄幣/贖回
· Pyra Protocol：完全停用提款
· Piggybank：損失$106,000 #DriftProtocolHacked 由金庫償還$230

Jupiter回應

“Jupiter Lend並未參與Drift市場。JLP資產由底層資產全額支持。這是Solana DeFi的一個艱難日子。”

未受影響的代幣

· Unitas Protocol
· Meteora
· Perena (儘管其中立交易管理的JLP金庫受到影響)

---

6. 穩定幣爭議：Circle與Tether

一個主要的次要故事浮出水面：為何Circle沒有凍結被盜的USDC？

數字

· (百萬美元的USDC由Circle的跨鏈轉移協議CCTP)在Solana與以太坊間橋接
· 這一過程超過六小時，未見干預

對比

協議反應
USDT0 (Tether) 在90分鐘內停止Solana上的跨鏈通信
Circle CCTP 無干預記錄；協議無需授權即可運行

批評聲浪

區塊鏈分析師ZachXBT公開批評Circle未採取行動。業界觀察指出，這反映了一個根本的設計取捨：集中控制以應對緊急情況 (USDT0) 與去中心化的permissionless (CCTP)。

作為背景，Curve創始人Michael Egorov指出：“如果涉及北韓駭客，恢復的可能性為零。他們從不合作，也不怕執法。”

---

7. Drift的回應與恢復努力

立即行動 (4月1-3日)

· 所有協議功能凍結
· 被入侵的錢包從多重簽中移除
· 攻擊者地址已標記與交易所及橋樑運營商合作
· 在鏈上向駭客錢包發送訊息：“我們準備好對話”

談判嘗試 $200 4月3日$10

Drift向持有被盜資金的四個以太坊錢包發送鏈上訊息，內容為：

“已識別與此次攻擊相關的關鍵資訊。社群方面，Drift將在完成第三方歸屬後，提供進一步更新。”

唯一回應？一個持有(ETH的隨機錢包回覆：“寄我)百萬，讓我跟Drift團隊玩玩。”

取證調查

· 聘請Mandiant進行取證調查
· SEAL 911團隊 $1 Taylor Monahan、tanuki42_、pcaversaccio、Nick Bax( 被認可為識別行動者
· 正式歸屬待完成設備取證

tanuki42_的說法

“這是我認為由朝鮮在加密領域策劃的最精心且有針對性的攻擊。招募多名協助者，並讓他們在主要加密活動中針對特定人物，這是一個瘋狂的策略。”

---

8. 為何這一切改變DeFi的格局

殘酷的真相

“如果攻擊者願意花六個月、投入)百萬美元、親自會面團隊、存入真實資金，並耐心等待—那麼，設計出來的安全模型能偵測到嗎？”

經驗教訓

1. 時間鎖不是選擇。像Drift在3月27日移除的時間鎖，能將複雜攻擊縮短成12分鐘的提款
2. 社交工程>程式碼漏洞。最先進的程式碼審計也無法阻止人類打開惡意VSCode資料夾或安裝TestFlight應用
3. 有權限與無權限的安全性差異。USDT0與CCTP的對比展現了穩定幣設計中的實際取捨
4. 北韓將持續存在。Elliptic追蹤2026年第一季被盜資金超過19283746565748392億美元，與北韓相關行動者近年負責的資金超過$65億

Drift的未來

· 除非資金追回或出現重大支援，否則可能走向清算、破產或訴訟
· 4月3-5日尚未公布全面賠償方案
· 若涉及北韓，恢復概率：0% $300M 根據Michael Egorov(

---

9. 主要錢包與鏈上數據

攻擊者ETH錢包 )Post-bridge(

· 0xAa843eD65C1f061F111B5289169731351c5e57C1
· 0xd3feed5da83d8e8c449d6cb96ff1eb06ed1cf6c7
· 0x0fe3b6908318b1f630daa5b31b49a15fc5f6b674

持有總額：約105,969 ETH )約$226M(

Drift的鏈上訊息發送者：

· 0x0934faC45f2883dd5906d09aCfFdb5D18aAdC105

---

終極結論

這不是一次駭客事件，而是一場由國家主導、持續六個月的敵對情報行動，針對一個DeFi協議。攻擊者：

· 利用擬真身份的第三方中介
· 在多國會議親自會面目標
· 存入超過$1M的真實資金作為掩護
· 利用信任的開發工具)VSCode(與Apple的TestFlight
· 完美時機執行12分鐘洗劫

若DeFi想要存活，行業必須接受：社交工程與國家行為者已成為主要威脅模型—不僅僅是智能合約漏洞。

“調查顯示，所用的身份資料皆為完整建構，包括就業歷史、公開證明與專業網絡，能經得起商業合作中的審查。”—Drift Protocol )#DriftProtocolHacked