摘要:2026年4月1日,Solana上的Drift协议遭遇一场历时六个月的精密攻击,损失逾2.85亿美元。攻击者以量化交易公司身份渗透,通过建立信任关系、部署保险库并利用代码漏洞,在12分钟内完成资金转移。调查指向朝鲜关联组织UNC4736。
Drift协议遭长期隐蔽渗透:六月布局致超2.85亿美元损失
2026年4月1日,基于Solana生态的Drift协议遭受重大安全事件,资产损失约为2.85亿美元。初步分析显示,此次攻击并非临时起意,而是至少持续六个月的系统性情报行动。调查方以中高置信度将责任归于名为UNC4736的威胁实体,该组织被确认与朝鲜存在关联,亦曾被追踪为AppleJeus或Citrine Sleet。
潜伏期长达数月的关系构建策略
攻击的起点可追溯至2025年秋季的一场大型加密行业会议。一名自称来自量化交易机构的人员主动接触了Drift核心开发成员。这并非典型的钓鱼行为,而是一场跨越多国、持续数月的深度社交渗透。该实体展现出高度专业背景,对协议架构和运作逻辑有深入理解。
首次会面后,双方创建了专属Telegram群组,围绕交易策略设计、保险库集成等议题展开持续沟通。这些互动模式与正规金融机构的协作流程高度一致,有效规避了早期警报机制。
从2025年12月至2026年1月,该组织成功在Drift生态中设立一个正式运营的保险库。整个过程包括提交完整策略文档、参与多轮技术评审,并注入超过100万美元自有资金。其行为表现出极强的耐心与合规伪装能力。
信任关系达成后的关键渗透窗口
在2026年2月至3月期间,双方继续在多个行业峰会中进行线下交流。到4月初,双方已建立起近六个月的协作关系,攻击者已从“外部访客”转变为“内部合作者”。这种深度绑定使后续攻击行为具备天然掩护。
在此阶段,攻击者分享了所谓“正在开发中的项目工具链接”,此类资源共享在正常商业合作中极为常见,反而成为恶意软件投递的有效通道。
三类潜在入侵路径浮出水面
攻击发生后,Drift团队对设备、账户及通信记录展开取证。由于攻击者迅速清除其使用的Telegram聊天记录与恶意程序,部分线索已丢失。但调查识别出三种可能的技术入口:
一是某贡献者在克隆攻击者提供的代码仓库后,其本地环境已被植入恶意脚本,该仓库伪装成保险库前端部署工具。
二是另一名成员被诱导下载一个标示为“钱包测试版”的TestFlight应用,该平台专用于iOS应用预发布阶段分发。
针对代码仓库攻击路径,研究指出其可能利用了VSCode与Cursor编辑器中存在的一个已知漏洞。该漏洞允许在打开特定文件或目录时静默执行任意代码,且不会触发任何提示或权限请求。此漏洞自2025年12月起已被多次公开警告,但仍在受感染环境中广泛存在。
快速执行与链上资金流转轨迹
尽管筹备周期长达六个月,攻击执行却极为迅捷。一旦获得管理权限,攻击者在不到12分钟内便完成用户资金转移。协议总锁定价值在一小时内由约5.5亿美元锐减至3亿美元以下。期间DRIFT代币价格暴跌超过40%。
PeckShield确认最终损失金额超过2.85亿美元,占当时协议总锁仓价值的50%以上。事件发生后,Drift团队在社交平台警示:“这不是愚人节玩笑,请保持警惕。”所有存款与取款功能随即暂停。
资金跨链转移与去踪化操作
攻击得手后,资金立即被转换为USDC与SOL,并通过Circle的跨链传输协议(CCTP)从Solana桥接到以太坊。该协议支持原生资产跨链迁移,无需封装步骤。
在以太坊网络上,资金进一步兑换为ETH。链上数据显示,攻击者共积累129,066枚ETH,当时估值约2.73亿美元。同时,部分SOL被存入HyperLiquid与Binance等主流交易平台,通过分散存储显著增加追踪难度。
对链上响应机制的质疑声浮现
调查人员指出,大量被盗资金在美国工作时间内完成跨链转移,却未被Circle及时冻结。对比其在近期一起民事案件中冻结16个无关企业热钱包的先例,表明该机构具备相应技术和法律手段,但未能在本次事件中采取有效干预措施。
幕后黑手与历史攻击模式重叠
基于链上数据与行为特征,调查团队认定此次攻击与2024年10月的Radiant Capital事件出自同一势力。两次攻击均指向同一批资金来源与操作模式。
用于测试和部署攻击的资金流可追溯至与前次攻击相关的钱包地址。此外,本次活动中所使用的人物角色设定、沟通风格与过往朝鲜关联活动高度相似。
Drift特别说明:现场露面人员并非朝鲜公民。此类高级别行动通常由第三方中间人负责面对面接触,以确保实际操作者与真实身份隔离。
Mandiant目前已介入调查,但尚未发布正式归因结论。最终判断需待全部设备取证工作完成后方可确定。
当前应对与生态警示措施
截至报告发布,Drift已实施多项应急响应:全面冻结协议功能;从多重签名钱包中移除受污染地址;在交易所与桥接服务端标记攻击者相关钱包;并聘请Mandiant作为主要取证合作方。
团队强调,披露详细信息旨在提升整个生态的安全意识,帮助其他协议识别类似攻击模式并加强防御。
深层教训:信任即风险,关系即攻击入口
此次事件的本质并非一次智能合约漏洞逃逸,而是一场精心设计的社会工程学攻击。攻击者通过六个月的时间,构建真实可信的合作关系,投入百万级资金,完成保险库部署,最终在12分钟内完成巨额资金转移。
恶意代码仓库与伪造测试应用之所以奏效,正是因为它们被置于高度信任的环境中。对于DeFi协议而言,真正的防线不应仅限于代码审计,更应涵盖每位开发者的终端安全、第三方依赖项的完整性,以及在行业会议中建立的所有人际连接。
UNC4736已连续两次采用相同策略:2024年10月的Radiant Capital攻击,以及2026年4月的Drift事件。每一次都体现其资源充沛、耐心十足、极具战略性的特点。
声明:本站所有文章内容,均为采集网络资源,不代表本站观点及立场,不构成任何投资建议!如若内容侵犯了原著者的合法权益,可联系本站删除。