Drift駭客案始末:北韓駭客滲透6個月,如何製造2026春季最大DeFi劫案
Drift 遭北韓組織滲透逾半年,利用社交工程與 Durable Nonce 奪走約 2.8 億美元資產,重創 DeFi 安全信任。
跨越半年的精心佈局:從會議寒暄變成 2.8 億劫案
4 月 1 日,原本應是充滿惡作劇的愚人節,Solana 生態系中領先的永續合約交易所 Drift Protocol,卻遭逢了災難性的現實打擊。這場攻擊在短短 10 秒內導致約 2.8 億至 2.86 億美元的使用者資產憑空消失,創下 2026 年以來 DeFi 產業規模最大的駭客紀錄。
- 相關新聞:DeFi平台Drift在愚人節遭駭!駭客搬空2.7億鎂資產,管理員密鑰成漏洞
根據 Drift 團隊事後發佈的調查報告,這起事件源於一場醞釀超過 6 個月、具備國家級組織背景的「結構化情報行動」。初步調查顯示,該行動與北韓威脅組織 UNC4736(亦被稱為 AppleJeus 或 Citrine Sleet)有高度關聯,該組織曾於 2024 年 10 月對 Radiant Capital 發動 5,000 萬美元的攻擊。此次針對 Drift 的滲透行動跳過了傳統的程式碼漏洞挖掘,改以極高精確度的人為操縱,繞過了程式碼審計與硬體錢包的多重保護。
圖源:X/@DriftProtocol Drift 團隊事後發佈的調查報告,這起事件源於一場醞釀超過 6 個月、具備國家級組織背景的「結構化情報行動」
北韓駭客的「影子代理人」策略
這場長線騙局始於 2025 年 10 月的一場大型加密貨幣大會。當時,數名自稱是量化交易公司的代表主動接觸 Drift 的核心成員,表達了對協議整合與流動性提供的合作興趣。
在接下來的半年裡,這群駭客展現了極高的職業操守與技術素養,他們透過 Telegram 頻道與開發團隊頻繁討論交易策略,甚至在 2025 年 12 月至 2026 年 1 月間,實際在 Drift 上部署了一個功能完整的「生態系保險庫(Ecosystem Vault)」,並存入超過 100 萬美元的自有資金以建立信用。
值得注意的是,Drift 證實在會議現場現身的人員並非北韓籍,這顯示北韓駭客正頻繁雇用第三方仲介機構或身分完美的代理人進行實體社交工程。這種「深耕」模式成功讓 Drift 團隊放下戒心,將潛伏的威脅視為長期可靠的合作夥伴。
Durable Nonce 與開發工具漏洞
在建立深厚信任後,駭客開始執行最終入侵計劃,透過分享惡意程式碼庫(Repo)或邀請安裝測試版 App(TestFlight)來感染開發者的工作裝置。調查指出,攻擊者利用了當時開發工具 VSCode 與 Cursor 中存在的嚴重安全性漏洞,開發者只需在編輯器中打開特定資料夾,惡意程式碼便會在無提示的情況下自動執行。
一旦成功控制兩名安全委員會(Security Council)成員的裝置,駭客便誘導其簽署具備管理權限的授權指令。隨後,他們利用 Solana 網路名為「Durable Nonces」的合法特性,將這些預先簽署的交易指令儲存在區塊鏈上長達一週以規避偵測。
直到 4 月 1 日,陷阱完全收網,駭客在 10 秒內執行了 31 筆提款交易。受損資產極為廣泛,包含 1.55 億美元的 $JLP 代幣,以及超過 6,640 萬 $USDC、47.7 萬 $WETH 等多項主流資產,導致 Drift 的總鎖倉價值(TVL)從 5.5 億美元驟降至不足 2.5 億美元,其原生代幣 DRIFT 價格也隨之崩跌超過 98%。
民事疏忽爭議與 AI 威脅,DeFi 安全典範的強制轉型
此次事件引發了法律界與技術界的強烈批判。加密貨幣律師 Ariel Givner 指出,Drift 團隊的行為可能構成「民事疏忽」,因為開發團隊未能遵循基本的運維安全程式,例如將簽署密鑰存放在完全隔離的實體裝置(Air-gapped systems),並在與權限管理掛鉤的裝置上開啟來源不明的外部檔案。
圖源:X/@GivnerAriel 加密貨幣律師 Ariel Givner 指出,Drift 團隊的行為可能構成「民事疏忽」
與此同時,Ledger 技術長 Charles Guillemet 警告,隨著 AI 技術的發展與普及,這類精密的社交工程成本正趨近於零,AI 能生成極具說服力的虛假身分與技術文件,使得人類防線變得日益脆弱。目前 Drift 已凍結所有協議功能,並嘗試與駭客錢包進行鏈上談判,但各界對資金追回多持悲觀態度。
這場劫案給予整體產業沉重的警示:當駭客早已轉向打擊人類心理而非程式碼邏輯,僅依賴多簽錢包治理已無法保證資產安全,強化操作紀律與硬體隔離才是防範國家級威脅的唯一出路。
延伸閱讀
Drift遭駭誰的錯?駭客跨鏈資產卻未凍結,ZachXBT痛批Circle失職