今年最大的 DeFi 黑客攻击事件发生在上周 4 月 1 日,Drift Protocol 作为 Solana 网络上最大的永续合约 DEX 之一,遭遇了一次攻击,导致协议中约 2.86 亿美元凭空消失。这次攻击与朝鲜相关的黑客有关,整个黑客攻击仅在 10 秒内完成。然而,这次黑客攻击令人震惊的是它的精心策划。没有代码被破坏,也没有智能合约存在漏洞。来自 Elliptic 和 TRM Labs 等加密货币取证公司的调查实际上指向了一次更加精心计算的黑客攻击。
朝鲜攻击者花了三周时间制造了一个名为 CarbonVote 的假代币,投入几千美元让它看起来真实,同时通过社会工程手段诱骗 Drift 五名多签安全委员会签署者中的两人预签了他们并不完全理解的隐藏授权。随后,他们使用了 Solana 的一个名为"持久性随机数"的功能,将这些签名保留了一周多,等待合适的时机。而这一切只需要 4 月 1 日的一笔交易。
正如 Elliptic 所指出的,这次攻击是今年与朝鲜有关的第 18 起加密货币黑客攻击,从该领域抽走了约 3 亿美元。黑客攻击四天后,Ledger 的 CTO 公开强调了这次黑客攻击的惊人性质,以及 AI 正在将此类攻击的成本"降至零"。这一声明非常重要,因为 Drift 黑客攻击是这些操作现在如何运作的案例研究。攻击者不需要零日漏洞或顶级密码学家。他们只需要耐心、一个令人信服的假代币和两个可以被操纵的人。这次黑客攻击实际上暴露了当今 DeFi 的结构性漏洞。DeFi 正在建设由可能被欺骗的小群体保护的数十亿美元基础设施,而对手在这方面做得越来越好。
朝鲜如何在 10 秒内窃取 2.86 亿美元
Drift 协议黑客攻击是一次精密的攻击,准备工作跨越了三周。彭博社于 4 月 1 日首次报道了这次入侵,当时 Drift 协议确认约 2.86 亿美元的用户资产被抽走。整个计划实际上早在 3 月 11 日就开始了,当时攻击者在平壤时间上午 9 点左右从 Tornado Cash 提取了 10 ETH,并用它部署了假代币 CarbonVote (CVT),这是一种完全虚构的资产,投入了几千美元的流动性,并通过洗售交易维持活跃。
在接下来的两周内,即 3 月 23 日至 3 月 30 日之间,攻击者开设了持久性随机数账户,这是 Solana 网络上的一个合法功能,允许交易被预签并无限期保留而不会过期。在此期间,攻击者通过社会工程手段诱骗 Drift 五名安全委员会多签签署者中的两人批准看似正常的交易,但正如 TRM Labs 后来确认的那样,这些交易携带了关键管理控制权的隐藏授权。
最后一块拼图于 3 月 27 日落地,据 BlockSec 报道,当时 Drift 将其安全委员会迁移到新的 2/5 阈值配置,且没有时间锁,这基本上消除了唯一能让任何人发现即将发生的事情的延迟。到 4 月 1 日时,陷阱已经完全装载了好几天。
4 月 1 日,攻击者使用这些预签批准将 CarbonVote 列为有效抵押品,通过操纵预言机定价将其价值膨胀到数亿美元,并夺取了治理权。从那里,31 笔提款交易在几秒钟内清空了 Drift 的金库。仅最大的一笔就包括价值超过 1.55 亿美元的 JLP 代币,以及数千万的 USDC、SOL、ETH 和其他流动性质押代币被抽走,协议上的总锁仓价值立即从约 5.5 亿美元暴跌至 2.5 亿美元以下。
黑客攻击的速度只是这个故事的一部分。一个长达三周的详细计划以 10 秒钟的黑客攻击结束,显示了治理而非代码是如何轻易成为 DeFi 中最薄弱的环节。
朝鲜在 2026 年的 3 亿美元加密货币战争
据报道,这次由朝鲜相关攻击者实施的黑客攻击绝非孤立事件。事实上,如果你查看过去几年一些最引人注目的黑客攻击,就会发现这是一场更大规模、国家驱动的运动的一部分。仅今年,Elliptic 就报告称 Drift 攻击使其成为第 18 起归因于朝鲜的加密货币盗窃案,使今年迄今被抽走的资金总额超过 3 亿美元。如果你看看今年以外的情况,来自单一国家的此类黑客攻击规模就很难被忽视。根据 TRM Labs 的数据,去年朝鲜相关行为者窃取了 19.2 亿美元,而 Chainalysis 将这一数字定为 20.2 亿美元的加密货币。这标志着该集团实施的黑客攻击同比增长 51%,并将其有史以来的盗窃总额推至 67.5 亿美元。
朝鲜在 2025 年占所有服务入侵的创纪录的 76%,这意味着一个国家对该行业发生的绝大多数盗窃案负有责任。在此背景下,Drift 黑客攻击现已成为 Solana 生态系统中仅次于 2022 年 Wormhole 入侵的第二大攻击,符合一种攻击模式。
定义该模式的是一致性。2025 年 2 月的 Bybit 黑客攻击是历史上最大的加密货币盗窃案,其设置几乎相同,包括社会工程、被入侵的访问权限和协调的资金交换。TRM Labs 指出,朝鲜运营商越来越依赖"中国洗钱"网络,在数小时内将资金跨不同链桥接。
Drift 攻击实际上展示了一个由国家支持的团队运行多周操作的系统,其中侦察、人员操纵和全球洗钱基础设施已经到位。
AI 正在将攻击成本"降至零":Ledger 的 CTO 警告
在 Drift 被抽空四天后,Ledger CTO Charles Guillemet 告诉 CoinDesk 一些重新定义整个事件的内容。"发现漏洞并利用它们变得非常非常容易,"他说。"成本正在降至零。" Guillemet 没有点名 Drift,但他描述了其确切的机制。AI 不仅帮助攻击者更快地发现代码错误,它还使社会工程更具说服力,网络钓鱼更加个性化,并且朝鲜运营商在 Drift 上花费三周进行的准备工作成本更低,可扩展性提高了一个数量级。他还指出了防御方面的一个复合问题:随着越来越多的开发人员依赖 AI 生成的代码,漏洞的传播速度可能会超过人工审查员的捕获速度。"没有'使其安全'按钮,"他说。"我们将产生大量设计上不安全的代码。" 黑客攻击和漏洞在过去一年造成了 14 亿美元的加密货币损失,而 Guillemet 的预测是曲线会变得更陡,而不是更平坦。
Drift 黑客攻击是该警告最清晰的概念验证。攻击者从未触及代码,他们针对的是持有密钥的两个人。如果 AI 可以生成足够令人信服的借口来欺骗多签签署者批准他们并不完全理解的交易,那么它就不需要破坏智能合约。Guillemet 预计该行业会分裂:像钱包和核心协议这样的关键系统将大量投资于安全并适应,但更广泛的软件生态系统中的大部分可能难以跟上步伐。他推荐的修复措施——使用数学证明的形式化验证、私钥的硬件隔离——在结构上是合理的,但需要包括 Drift 在内的大多数 DeFi 协议尚未建立的机构纪律水平。"当你有一个不暴露在互联网上的专用设备时,它在设计上更安全,"他说。Drift 安全委员会没有这样的缓冲。两个签名、零时间锁和一个假代币就足够了。
接下来会发生什么:Drift 的恢复和行业反应
Drift Protocol 接下来会发生什么还远不清楚,早期信号已经在分裂该行业。在事件发生后不久,Anatoly Yakovenko 提出了一条潜在的恢复路径:向受影响的用户发放 IOU 式代币空投,效仿 Bitfinex 在 2016 年 7,200 万美元黑客攻击后的策略。
这个想法很简单——现在将损失社会化,如果协议恢复,随着时间的推移偿还用户。但背景非常不同。Drift 的 TVL 已被削减近一半,存款和提款仍然暂停,与 Bitfinex 不同,它缺乏集中式收入引擎来支持这些负债。这导致了立即的反对:在这种情况下,IOU 代币有可能成为纯粹的投机工具,没有明确的赎回路径。
与此同时,链上活动正在引发新的担忧。Onchain Lens 标记称,在攻击后不久,与 Drift 团队相关的钱包将 5,625 万个 DRIFT 代币(约 244 万美元)转移到包括 Bybit 和 Gate 在内的中心化交易所,这一举动通常先于抛售压力,并引发了关于在流动性危机期间内部人员定位的猜测。
与此同时,攻击者的资金已经跨链桥接,最显著的是转移到以太坊,随着每一天的过去,有意义的恢复概率都在降低。更广泛的含义是,这一事件不会以 Drift 结束。它可能会加速全行业对 DeFi 治理本身的审查,从多签安全标准和时间锁要求到预言机设计和执行控制。接下来会发生什么取决于三个变量:Drift 是否能提出可信的恢复计划、是否能追踪或冻结任何部分资金,以及这是否最终迫使结构性改革,或者成为该行业经历的又一次昂贵教训。
如果你正在阅读这篇文章,你已经领先了。通过我们的时事通讯保持领先。
来源:https://www.cryptopolitan.com/drift-protocol-hack-north-korea-ai/
