作者：爆料中本聪

Drift Protocol 于周六发布了迄今为止最详细的报告，描述了 4 月 1 日从 Solana 永续合约交易所窃取约 2.8 亿美元的漏洞利用事件，并称这是一次耗时约六个月策划的“结构化情报行动”。

根据更新双方的首次接触发生在2025年秋季前后。当时，一些自称量化交易公司的人士在一次大型加密货币会议上与Drift的贡献者们接触，并表达了对集成该协议的兴趣。在第一次会面后，他们建立了一个Telegram群组。在接下来的几个月里，这些人继续在多个国家的行业活动中与Drift的贡献者们进行面对面的交流。

2025年12月至2026年1月期间，该团队在Drift平台上搭建了一个生态系统金库，填写了标准的策略表格，与贡献者进行了多次工作会议，并存入了超过100万美元的自有资金。Drift表示，这种行为符合合法交易公司通常与该协议集成的方式。

对受影响设备和攻击后通信记录的取证审查表明，这种关联很可能是入侵途径。Drift 表示，该组织的 Telegram 聊天记录和相关恶意软件在攻击开始的瞬间就被清除。

两种可能的向量

Drift 的初步评估确定了两种可能的入侵方式。一名贡献者可能在克隆了该组织共享的代码库后感染了病毒，该代码库的克隆借口是为其保险库部署前端。另一名贡献者则被诱骗通过苹果的 TestFlight 测试版安装了该组织声称是其钱包产品的应用程序的测试版。

Drift 指出，在存储库路径方面，VS Code 和 Cursor 存在一个漏洞。安全研究人员此前曾公开警告称，在 2025 年 12 月至 2026 年 2 月期间，只需在编辑器中打开文件、文件夹或存储库，即可在不发出任何用户提示的情况下静默执行任意代码。

漏洞本身，如The Block 此前报道过此次攻击并非利用智能合约漏洞。Drift 将其描述为“一种涉及持久随机数的新型攻击”，持久随机数是 Solana 协议中一项合法的基本功能，允许预先签名交易并在稍后执行。攻击者可能通过社会工程或交易伪造等手段预先获得了多重签名授权，然后利用这些预先签名的授权夺取了安全理事会的管理权限，并在几分钟内耗尽了协议资源。

朝鲜的联系

Drift表示，在SEAL 911小组的支持下，他们“以中高置信度”评估认为，此次行动是由与此前行动相同的、受朝鲜国家支持的行动者实施的。Radiant Capital 5000万美元被黑客攻击2024年10月，Mandiant归因于致 UNC4736，又名 AppleJeus 或 Citrine Sleet，一个与该国侦察总局有联系的黑客组织。

Drift表示，此次攻击的关联性体现在链上和运营层面的重叠之处。用于策划和测试Drift行动的资金流向可以追溯到Radiant攻击者，而且该行动中部署的角色与已知的朝鲜相关活动存在明显的重叠。

值得注意的是，Drift强调，亲自出席会议的人员并非朝鲜公民。该协议指出，朝鲜此类威胁行为者通常会利用第三方中间人来建立关系，而此次行动中使用的人员资料均具备完整的就业经历、公开的资质证明以及旨在规避交易对手尽职调查的专业人脉网络。

Drift公司委托Mandiant公司主导取证调查，但Mandiant尚未正式认定此次漏洞利用事件是由Drift公司发起的。最终结论需待设备取证工作完成后才能确定。

漂移的当前状态

Drift表示，所有剩余的协议功能均已冻结，被入侵的钱包已从多重签名中移除，攻击者的地址已在交易所和桥接运营商处标记。链上侦探ZachXBT已稳定币发行商 Circle 也受到了单独批评。他称对方反应迟缓，并声称攻击者在六个小时内通过 CCTP 将大约 2.32 亿 USDC 从 Solana 桥接到以太坊，而没有任何资金被冻结。

Drift漏洞是2026年迄今为止最大的DeFi黑客攻击事件，也是Solana历史上第二大安全事件，仅次于3.25亿美元的损失。2022年虫洞桥攻击.

Drift 对独立研究人员和 SEAL 911 成员 Taylor Monahan、tanuki42_、pcaversaccio 和 Nick Bax 识别出这些行动者的工作表示感谢，并敦促任何认为自己可能成为同一组织目标的团队直接联系 SEAL 911。

“说真的，这应该是我见过的朝鲜在加密货币领域发起的最精心策划、最有针对性的攻击了。” tanuki42_在 X 上写道此外，他们还警告说，其他协议也可能成为攻击目标。“招募多名组织者，然后让他们在大型加密货币活动中针对特定人群进行攻击，这是一种非常疯狂的策略。”