Solana 链上知名衍生品协议 Drift Protocol 4 月 1 日遭到黑客攻击,损失约 2.85 亿美元,平台锁仓量(TVL)从事发前的约 5.5 亿美元,在事发后骤降至约 2.3 亿美元。Drift 团队随后发布详细调查报告,揭露这是一场历时 6 个月、具备国家级资源支撑的社会工程学攻击。
6 个月的潜伏:从加密货币大会到代码仓库
根据 Drift 的调查,攻击者早在 2025 年秋季便开始部署。他们以合法量化交易公司的身份,在多个加密货币大会上接触 Drift 的贡献者,建立了看似真实的职业关系。在长达 6 个月的渗透期间,攻击者:
建立 Telegram 群组,与 Drift 团队讨论交易策略
以真实资金(超过 100 万美元)在生态系统 Vault 中建立可信度
在多个国家进行多次工作会议
最终入侵可能通过两个管道完成:一名贡献者复制了一个可能利用 VSCode/Cursor 已知漏洞的代码仓库;另一名贡献者下载了攻击者以“钱包产品”为名提供的 TestFlight App。
技术手法:Durable Nonce 预签交易绕过多签
技术层面,攻击者使用了 Solana 上的“Durable Nonce”账户机制——这是一种允许预先签署交易、延后执行的功能。攻击者利用它来预先准备好所有恶意交易的签名,在取得足够权限后瞬间执行,留给防御方极少的反应时间。
攻击者迅速取得了 Drift 安全委员会的管理权,随后清空相关资产。Drift 事后强调,所有多签成员均使用冷钱包,但仍无法阻止攻击,显示“当攻击锁定人为层面时,即便严格的硬件管控也可能被绕过”。
指向北韩 UNC4736:与 Radiant Capital 攻击同一组人
Drift 表示,以“中高度信心”将此次攻击归因于 UNC4736(又名 Citrine Sleet、AppleJeus),一个与北韩政府有关联的黑客组织。调查指出,事件模式与 2024 年 10 月导致 Radiant Capital 损失 5,800 万美元的攻击高度吻合,认为出自同一批行为者。
Circle 遭批评:为何未能即时冻结被盗 USDC?
攻击后,另一个争议焦点是 Circle 的反应速度。根据 PeckShield 数据,攻击者从 Drift 竊走约 7,100 万美元 USDC,并在将其他被盗资产转换为 USDC 后,通过 Circle 的跨链转账协议(CCTP)将约 2.32 亿美元的 USDC 从 Solana 桥接至以太坊,使追讨难度大幅上升。
知名链上调查员 ZachXBT 批评 Circle 行动太慢,并指出一个讽刺的对比:就在攻击者设置 Durable Nonce 账户的同一天(3 月 23 日),Circle 却在几分钟内就冻结了 16 个商业热钱包,起因是一起美国民事诉讼——但面对规模远超 9 位数的 DeFi 攻击,却没有同等迅速的行动。
Circle 的回应是:“Circle 是一家受监管的公司,依照制裁规定、执法命令及法院命令合规运作。我们在法律要求的情况下冻结资产,以符合法治原则并保护用户权利与隐私。”Plume 的法律顾问则呼吁立法机构建立“安全港”机制,让稳定币发行人在有合理根据相信资金涉嫌违法时,可以冻结资产而免于民事责任。
对 DeFi 产业的警示
Drift 的公告在业界引发广泛关注。这起攻击清楚说明,国家级黑客组织正在对 DeFi 协议发动长达数月的人力情报(HUMINT)行动,而非仅靠技术漏洞。关键教训包括:不要在接触生产金钥或多签的机器上复制外部仓库、安装第三方应用或打开不明链接;装置与存取权限的隔离必须彻底落实。
这篇文章 Drift Protocol 遭窃 2.85 亿美元:北韩黑客准备 6 个月,利用 Durable Nonce 绕过多签 最早出现在 链新闻 ABMedia。
