漂移协议因深度渗透事件宣布全面停摆

依托Solana区块链的去中心化衍生品交易平台漂移协议于2026年4月1日宣布终止所有运营活动，起因是内部系统被持续数月的复杂入侵所破坏。数字取证结果显示，此次攻击由具有朝鲜背景的黑客组织主导，被认定为去中心化金融领域最具系统性与组织性的网络渗透案例之一。该平台自2021年上线以来，凭借杠杆交易机制与创新流动性设计，已成为Solana生态中的关键基础设施。

多阶段伪装渗透：从技术合作到信任构建

攻击行为可追溯至2025年秋季，当时攻击者以量化机构代表身份，在一场国际加密行业峰会上首次接触协议核心开发成员。他们提出将大型资产管理架构接入漂移协议，以此建立初步联系。

此后六个月内，攻击者频繁现身全球多地技术会议，以专业技术人员形象参与交流，与开发者建立面对面互动关系。初期沟通通过专属电报群展开，聚焦功能接口与集成逻辑；随后转入定期线上会议，深入讨论底层交易架构与风险控制模型。

2025年12月，攻击者成功在协议金库系统中部署资金池模块，并注入超过百万美元资产。在此期间持续提供所谓“开发支持”与技术建议，进一步巩固团队信任基础。

事后审计显示，攻击者伪造了完整的职业履历、社交媒体活动轨迹及可信工作记录。双方技术协作延续至2026年3月，最终形成稳定互信关系，为后续攻击创造必要条件。

隐蔽攻击路径与溯源确认

4月1日异常警报触发后，协议团队联合第三方安全机构启动全面调查。日志分析识别出三条主要攻击链路：其一为伪装成金库前端代码仓库的恶意脚本，可在开发者使用VSCode等工具打开时自动执行任意指令；其二为诱导安装的所谓“定制钱包插件”，实则包含隐蔽后门。

这些恶意组件未触发任何权限提示或系统警告，运行后完全隐藏于正常进程之中。攻击完成即清除所有通信痕迹，包括电报对话记录与本地临时文件。

经比对，本次攻击与编号UNC4736的黑客组织存在高度重合性，该组织亦被称为AppleJeus或Citrine Sleet，长期专注于针对去中心化金融系统的定向打击。此次行动与2024年10月发生的同类事件存在共通特征，攻击者刻意通过第三方中介进行线下接触，以规避直接追踪。

目前漂移协议已向整个生态发出警示，呼吁各项目重新评估访问权限策略，强化依赖项审查机制，并提高对高精度社会工程攻击的防范意识。