#DriftProtocolHacked

一場$285 百萬美元的國家資助情報行動，偽裝成加密貨幣會議握手。這個行業正受到史上最複雜的DeFi攻擊之一的衝擊。

破壞規模

Solana上最大的永續合約交易所Drift Protocol，在2026年4月1日被盜走約$285 百萬美元。此次攻擊並非智能合約漏洞或密鑰被盜，而是由一個由北韓相關的國家資助團體——UNC4736 (Citrine Sleet/AppleJeus)策劃的長達六個月的社交工程行動的結果。Chainalysis表示，如果證實，與北韓相關的加密盜竊案在全球總額至少達到10.58兆韓元。這次行動規模令人震驚：該團體建立了一個假冒的量化交易公司身份，存入超過$1 百萬美元的自有資金，並在多國會議中與Drift的貢獻者面對面會晤，然後才發動攻擊。

---

國家資助攻擊的結構

攻擊者於2025年秋季在一場主要的加密貨幣會議上開始行動，假扮成量化交易公司的代表。接著展開了一場細緻、耐心的信任建立運動，持續約半年。

· 滲透階段：到2025年12月和2026年1月，該團體已在Drift上建立生態系統金庫（Ecosystem Vault），提交策略文件，參與多次與貢獻者的工作會議，並存入超過$1 百萬美元的自有資金。Drift描述這種行為與合法交易公司通常與協議整合的方式完全一致。
· 人員層面：在2026年2月和3月期間，Drift的貢獻者在不同國家的多場主要行業會議中與團體成員面對面會晤。到攻擊發動時，這些已不再是陌生人，而是建立了近六個月的合作關係。
· 技術途徑：一旦建立信任，該團體展開雙管齊下的攻擊：一是利用一個惡意的TestFlight應用程式——Apple的預發布應用分發平台，繞過App Store審核，偽裝成他們的錢包產品；二是利用VSCode和Cursor中的已知漏洞，只需打開一個文件或資料夾，即可在無警告或提示的情況下靜默執行任意程式碼。

---

執行過程：Solana的一個功能變成武器

攻擊者濫用一個名為“耐用隨機數（durable nonces）”的Solana合法功能，該功能允許交易預先簽名並永久有效。攻擊者騙取Drift五人安全委員會多簽成員中的兩人批准了看似例行的交易，獲得了預先簽名的批准，並在一周多的時間內閒置。4月1日，他們執行了這些預簽交易，在不到一分鐘內取得了協議層級的管理權。

---

事後：市場崩潰與社群反彈

立即的影響令人震驚：

· TVL崩潰：Drift的總鎖倉價值在一個早晨從約(百萬美元暴跌至不到)百萬美元，跌幅超過53%。
· 代幣崩盤：DRIFT代幣在數小時內下跌最多45%，最低接近$0.04–$0.05。
· 生態系擴散：至少20個與Drift流動性或策略相關的項目暫停運作或評估損失。
· Circle陷入危機：鏈上調查員ZachXBT批評Circle在攻擊期間未能凍結被盜的USDC，攻擊者利用Circle的跨鏈轉移協議$550 CCTP$250 ，在未受干預的情況下，將約(百萬美元的USDC從Solana橋接到以太坊。

---

法律與安全影響

加密法律專家Ariel Givner表示，此事件可能構成“民事疏忽”，認為Drift團隊未遵循基本安全程序——包括將簽名密鑰存放在獨立的隔離系統上，以及對在行業會議中遇到的開發者進行盡職調查。針對Drift Protocol的潛在集體訴訟已開始流傳。作為回應，Solana基金會與非對稱研究（Asymmetric Research）於2026年4月6日啟動了STRIDE安全計畫，為Solana DeFi協議提供正式驗證與威脅監控。

---

DeFi新威脅時代

這次攻擊代表著威脅格局的根本升級。它不是程式碼漏洞——而是一個需要組織支持、龐大資源和數月精心準備的結構化情報行動。攻擊者不僅建立了假LinkedIn檔案，他們還部署了具有完整身份、可驗證的就業歷史和專業網絡的中介，能夠經得起真正的盡職調查。一位安全研究員指出：“如果攻擊者像真正的組織一樣運作六個月，投資資金，並參與生態系，幾乎不可能用現有的安全系統檢測到他們”。

)$232 #DeFiHack #NorthKoreaCrypto