Drift协议2.8亿黑客攻击确认为朝鲜6个月情报行动

发布于 作者:

# 黑天鹅来袭!Drift协议2.8亿遭朝鲜6个月情报行动精准打击,DeFi安全警报全面拉响

💹 市场速报: 2026年4月1日,Solana最大DeFi永续合约平台Drift Protocol在12分钟内被盗约2.85亿美元,CoinDesk及Elliptic确认系朝鲜国家支持的黑客团体UNC4736历时6个月社会工程学操作所为,全球DeFi TVL与投资者信心同步承压。Drift Protocol Hit by $285M Exploit: Crypto's Biggest Hack of 2026 Unfolds on April Fool's Day

📌 关键事实
– 事件发生时间:2026年4月1日,攻击在12分钟内完成
– 损失规模:约2.85亿美元(部分报告为2.70亿-2.86亿美元)
– 攻击性质:朝鲜UNC4736(又称AppleJeus/Citrine Sleet)团体6个月情报行动,伪装量化交易公司
– 市场冲击:Drift TVL从约5.5亿美元骤降至2.5亿美元以下,DRIFT代币暴跌超40%至约0.06美元
– 资金流向:被盗资产快速换成USDC后跨链至Ethereum(来源:TRM Labs

市场背景

2026年4月1日,Drift Protocol遭遇史上2026年最大DeFi黑客攻击,攻击者利用预签名耐用nonce交易及多签批准权限,在极短时间内抽干协议金库。Drift官方后续披露,此次攻击并非智能合约漏洞,而是长达6个月的社会工程学渗透:攻击者自2025年秋季起在多场加密会议上伪装成量化交易公司,与Drift贡献者面对面接触、建立Telegram群组、存入超100万美元自有资金、集成Ecosystem Vault,并通过恶意TestFlight应用及VSCode/Cursor漏洞获取多签权限。North Korean Hackers Attack Drift Protocol In USD 285 Million Heist | TRM Blog

图注:TRM Labs发布的攻击资金流向图,清晰显示被盗资产从Solana快速跨链至Ethereum并洗钱(来源:TRM Labs)

攻击后,Drift立即冻结剩余功能、移除受损钱包,并与Mandiant等机构合作取证。区块链分析公司Elliptic指出,攻击者钱包在 exploit 前8天创建,事后通过Solana DEX聚合器快速换成USDC并桥接至ETH,行为模式与此前DPRK关联攻击高度一致。(来源:EllipticCoinDesk

Solana DeFi生态整体承压,TVL出现显著回落,DRIFT代币价格在24小时内重挫逾40%。Solana DeFi in Crisis After $285M Hack — Can the Ecosystem Recover? Solana DeFi in Crisis After $285M Hack — Can the Ecosystem Recover?

图注:Solana DeFi TVL走势图显示4月攻击后明显下滑(来源:DeFiLlama数据可视化)

深度分析:三层逻辑

宏观层: 地缘政治风险正成为加密市场新变量。2025年朝鲜关联黑客已窃取超20亿美元加密资产,占全球黑客盗窃总额约60%,资金最终用于规避制裁并支持武器计划。本次Drift事件是国家行为体对DeFi的又一次精准打击,凸显加密资产已成为地缘冲突的新战场。(来源:Chainalysis via Elliptic报告

政策层: 美国政府多次指控平壤利用加密盗窃资助军工,此次事件或加速全球监管趋严。Circle等稳定币发行方已在事发后积极配合冻结,但跨链速度仍让部分资金逃脱,暴露现有合规工具在DeFi高速环境下的滞后性。

资金层: 攻击直接引发DeFi资金流出。Drift TVL腰斩,Solana生态整体流动性受冲击,投资者倾向将资金转向中心化交易所或有保险机制的协议。短期内,风险厌恶情绪将推动“安全溢价”上升,优质DeFi项目估值承压。

“A six-month intelligence operation preceded the $270 million exploit of Drift Protocol and was carried out by a North Korean state-affiliated group.”
—— Drift Protocol官方事件更新(来源:DriftProtocol X官方帖

“Elliptic has identified multiple indicators suggesting that the exploit of Drift Protocol is linked to the Democratic People’s Republic of Korea (DPRK).”
—— Elliptic区块链分析报告(来源:Elliptic官方博客

风险提示

  • ⚠️ 国家支持型黑客风险加剧:6个月潜伏+真实资金注入的“人肉社会工程”模式,远超传统智能合约漏洞,未来更多DeFi协议可能成为目标。
  • ⚠️ 多签治理与设备安全漏洞:Drift事件暴露多签 signer 设备若同时用于日常开发/测试,即便冷钱包也可能被间接攻破。
  • ⚠️ 流动性与信心双杀:单次事件导致TVL腰斩,若连锁反应扩散,Solana DeFi整体交易量与资金流入将面临阶段性枯竭。

策略参考(仅供参考,非投资建议)

  1. 强化个人安全隔离:多签/治理相关设备必须物理隔离,禁止在同一设备上打开外部链接、下载TestFlight应用或克隆未知代码库;优先采用硬件钱包+多重验证。
  2. 资产配置转向“安全优先”:短期内减少高风险DeFi暴露,关注具备保险基金、定期审计且采用时间锁/延迟提现机制的协议,同时密切监控链上资金流向与TVL数据。

常见问题解答

❓ 这次Drift协议2.8亿黑客攻击的核心原因是什么?

攻击并非代码漏洞,而是朝鲜UNC4736团体历时6个月的社会工程学渗透:伪装量化交易公司,通过会议面对面接触、存入真实资金、分享恶意工具,最终获取多签批准权限并执行耐用nonce交易。

❓ 对普通加密投资者意味着什么?

DeFi不再仅是“代码风险”,而是“国家行为体+人类弱点”复合风险。投资者需重新评估协议治理透明度与团队安全实践,资金安全优先于高收益。

❓ 对Solana DeFi生态和DRIFT代币有何直接影响?

Drift TVL从5.5亿美元跌至2.5亿美元以下,DRIFT代币24小时内暴跌超40%;短期内Solana DeFi整体资金流出压力增大,交易量与流动性可能阶段性收缩。

❓ 后市DeFi安全趋势会如何演变?

监管机构或加快稳定币追踪与跨链合规要求,DeFi协议将更重视多签隔离、零信任架构与保险机制;长期看,专业化安全审计与保险产品需求将显著上升。

❓ 投资者还能信任DeFi吗?

信任需建立在可验证的安全实践之上。选择经过多次审计、采用时间锁、公开多签地址且有历史透明记录的协议,同时保持个人钱包隔离,即可大幅降低类似风险。

📅 本文信息更新至2026年4月7日,内容综合自X (Twitter) 实时热搜、Drift官方声明、CoinDesk、Elliptic、TRM Labs等权威媒体及区块链分析报告,仅供参考,不构成任何投资建议。

相关文章