#DriftProtocolHacked

一场$285 百万美元的国家支持情报行动，伪装成加密会议握手。行业正从史上最复杂的DeFi攻击之一中震惊。

漏洞规模

Solana上最大的永续合约交易所Drift Protocol在2026年4月1日被盗走约**$285 百万美元**。此次攻击不是智能合约漏洞或钥匙被盗，而是由**UNC4736 (Citrine Sleet/AppleJeus)**，一个与朝鲜有关的国家支持团体，策划的为期六个月的社会工程操作的高潮。Chainalysis表示，如果得到确认，与朝鲜相关的加密盗窃案全球总额将至少达到19283746565748392亿亿韩元。此次行动规模令人震惊：该团体建立了一个假冒的量化交易公司身份，存入超过$1 百万美元的自有资金，并在多个国家的会议上与Drift的贡献者面对面会晤后才发动攻击。

---

国家支持攻击的结构

攻击者于2025年秋在一次重要的加密会议上开始行动，假扮成量化交易公司的代表。接下来是一场细致、耐心的信任建立运动，持续了大约半年。

· 渗透阶段：到2025年12月和2026年1月，该团体已在Drift上上线了生态系统金库，提交了策略文件，参与了多次与贡献者的工作会议，并存入了超过$1 百万美元的自有资金。Drift描述这种行为完全符合合法交易公司通常与协议整合的方式。
· 人员层面：在2026年2月和3月期间，Drift的贡献者在不同国家的多个行业会议上与该团体成员面对面会晤。到攻击发起时，这些人已不再是陌生人，而是建立了近六个月关系的合作伙伴。
· 技术途径：一旦建立信任，该团体采取了双管齐下的攻击策略：一是利用伪装成钱包产品的恶意TestFlight应用（苹果的预发布应用分发平台），绕过App Store审核；二是利用VSCode和Cursor中的已知漏洞，仅需打开一个文件或文件夹，就能在没有警告或提示的情况下静默执行任意代码。

---

执行过程：Solana功能变武器

攻击者滥用了一项名为“持久随机数”的Solana合法功能，该功能允许交易预签名并无限期有效。通过欺骗Drift的五名安全理事会多签签名者中的两人批准看似常规的交易，攻击者获得了预签名的批准，这些批准静默存放超过一周。4月1日，他们执行了这些预签名交易，在不到一分钟内夺取了协议层的管理权限。

---

事后影响：市场反应与社区反弹

直接影响令人震惊：

· TVL崩溃：Drift的总锁仓价值在一夜之间从大约(百万美元骤降至不到)百万美元，跌幅超过53%。
· 代币暴跌：随后数小时内，DRIFT代币最多下跌45%，最低接近$0.04–$0.05。
· 更广泛的生态系统影响：至少20个与Drift流动性或策略相关的项目暂停运营或评估损失。
· Circle陷入风口浪尖：链上调查员ZachXBT批评Circle在攻击期间未能冻结被盗的USDC，因为攻击者利用Circle的跨链转账协议$550 CCTP$250 ，在未干预的情况下，将价值约(百万美元的USDC从Solana桥接到以太坊。

---

法律与安全影响

加密律师Ariel Givner表示，此事件可能构成“民事过失”，认为Drift团队未遵循基本安全程序——包括将签名密钥存放在隔离的、空气隔离系统中，以及对在行业会议上遇到的开发者进行尽职调查。针对Drift Protocol的潜在集体诉讼的广告已在流传。作为回应，Solana基金会和非对称研究于2026年4月6日启动了STRIDE安全计划，为Solana DeFi协议提供正式验证和威胁监控。

---

DeFi新威胁时代

此次攻击代表了威胁格局的根本升级。它不是代码漏洞——而是需要组织支持、巨大资源和数月精心准备的结构化情报行动。攻击者不仅建立了虚假的LinkedIn档案，还部署了具有完整身份、可验证的就业历史和专业网络的中介机构，能够经得起真正的尽职调查。一位安全研究员指出：“如果攻击者像一个真正的组织那样行动六个月，投资资金，并参与生态系统，几乎不可能用现有的安全系统检测到他们。”