继 4 月 1 日导致超过 2.85 亿美元损失的漏洞攻击事件发生后,Drift Protocol发布了一份详细的背景更新,提供了关于该攻击如何策划以及其影响为何远远超出单一协议的新见解。
该事件现在以 "中等高度置信 "与一个与朝鲜有关联的威胁组织联系在一起,不仅引发了对整个 DeFi 运营安全实践的严重质疑,而且还与 Solana 锁定的总价值急剧下降相吻合。利用漏洞后的几天内,Solana TVL 从 63.4 亿美元降至 55.5 亿美元,降幅约为 12.5%。
除去被盗资金,约 8%的净跌幅反映了用户信心的显著变化,但仍低于重大漏洞利用后的历史平均水平。
长达六个月的渗透活动
根据 Drift 4 月 5 日的更新,该漏洞并非由单一漏洞造成,而是一个历时数月的结构化行动。
攻击始于 2025 年秋天,当时有人冒充定量交易公司,在一次加密货币会议上接触了 Drift 的贡献者。在随后的六个月里,这些人一直保持联系,在多个全球行业活动中与贡献者会面。
他们展示了强大的技术知识,介绍了可信的专业背景,并就交易策略和保险库集成进行了详细讨论。这些互动反映了交易公司典型的入职行为,使双方关系得以发展,而不会立即引起怀疑。
2025 年 12 月至 2026 年 1 月期间,该集团通过在 Drift 上加入生态系统保险库、参加工作会议以及向协议存入超过 100 万美元的资金,加深了其参与程度。这项活动确立了运营的合法性,进一步加强了信任。
在整个合作过程中,作为标准集成工作流程的一部分,该小组共享了工具、应用程序和存储库的链接。这些互动后来成为调查的核心。
可能的攻击载体
Drift 的初步调查结果指出了两种主要的入侵途径。
一位贡献者可能是在克隆了与攻击者共享的 vault 前端链接的代码库后被入侵的。据报道,另一名参与者下载了一个TestFlight应用程序,并将其作为该组织的钱包产品展示。
安全研究人员还注意到,该漏洞与 2025 年底和 2026 年初影响 VSCode 和 Cursor 等开发环境的已知漏洞存在潜在联系。该漏洞无需用户交互,只需打开恶意资源库即可执行任意代码。
漏洞利用后,取证分析显示,攻击者的通信渠道和恶意软件很快被清除,这表明他们是通过协调努力来清除痕迹的。
威胁评估和响应
包括海豹 911小组在内的调查人员评估认为,这次行动与 2024 年 10 月 Radiant Capital 黑客攻击事件在链上和操作上都有相似之处,可信度为中等偏上。该事件之前被认为是 UNC4736 所为,UNC4736 是一个隶属于朝鲜的组织,也被称为 AppleJeus 或 Citrine Sleet。
Drift澄清说,与Drift贡献者会面的个人很可能是中间人,而不是威胁组织的直接成员。这与已知的策略一致,即与国家有关的行动者部署第三方来建立关系并实施社交工程活动。
Mandiant已受聘进行全面的取证调查,但正式的归属仍未确定。
利用漏洞后,Drift 冻结了所有剩余的协议功能,并从其多重身份验证中删除了受攻击的钱包。该团队还标记了各交易所和桥接运营商的攻击者地址,以限制资金流动。
该协议目前正与执法部门和安全合作伙伴合作,继续调查并评估恢复方案。
行业反应凸显安全问题
此次事件引发了行业领导者的广泛评论,其中许多人强调了加强操作安全标准的必要性。
Jito Labs 联合创始人兼首席执行官Lucas Bruder 表示,此次事件将改变行业行为,并补充说,行业参与者还不够 "偏执"。
索拉纳基金会技术副总裁雅各布-克里奇(Jacob Creech)强调了严格的安全实践,建议团队避免安装未知应用程序,使用专用签名设备,并重新评估当前设置。
Solana 联合创始人阿纳托利-雅科文科(Anatoly Yakovenko)也有同感,他认为这次攻击 "非常可怕",并建议将开发环境和签名环境物理隔离,包括为每种功能配备专用硬件。
一位名为Tay的链上调查员指出,朝鲜 IT 员工为构建加密协议做出了贡献,最早可追溯到 DeFi Summer,他列举了SushiSwap、THORChain、Harmony、Ankr、Shib 和Yearn。
他们还补充说,在这些参与者的简历中,"7 年区块链开发经验 "的说法不应被视为虚假。
Squads Protocol 首席执行官Stepan Simkin 指出,需要制定正式的运营安全标准,并建议为协议管理制定类似于代码审计或 SOC2 认证的框架。
关于责任和疏忽的争论
并非所有的反应都是同情的。法律专家Ariel Givner 认为,该事件可能构成民事过失。她批评了将开发活动与访问关键系统混为一谈的做法,以及缺乏基本保障措施(如空气屏蔽签名环境)的做法。
吉夫纳的评论反映了更广泛的社会争论,即问责制以及协议是否应对可预防的运行故障负责。
与此相反,Moonrock Capital 的创始人兼执行合伙人Simon Dedic 则认为,一旦 Drift 成为攻击目标,攻击者的复杂程度将使防范工作变得异常困难。
更广泛的安全思维转变
还有人将这一事件置于更广泛的行业背景中。
索拉纳基金会(Solana Foundation)主席Lily Liu 指出,虽然智能合约的表现符合预期,但攻击者越来越多地瞄准人为漏洞,而不是代码。
企业以太坊联盟(Ethereum Alliance)执行董事雷德万-梅斯莱姆(Redwan Meslem)将其与航空航天和银行等传统行业进行了比较,在这些行业中,严格的访问控制和安全协议是标准的。他认为,尽管加密货币管理着巨大的金融风险,但其运营仍采用初创企业级别的安全文化。
随着调查的继续,更广泛的教训依然清晰可见。DeFi 的安全性必须超越代码,包括严格的操作标准、受控环境,以及重新评估如何在对抗性日益增强的环境中建立信任。
在 SolanaFloor 上阅读更多内容
泰坦交易所承诺通过新的 DART 路由器使 Binance 的性能提高 4 倍
美元 BTC 持稳 6.9 万美元,美伊停火协议谈判无果而终
漂移协议遭黑客攻击,损失 2.85 亿美元
