#Drift称攻击事件疑为朝鲜黑客策划 2.86亿美元 DeFi 大劫案：疑为朝鲜黑客“长线钓鱼”

2026年4月1日，Solana 生态头部去中心化交易所 Drift Protocol 遭遇闪电式攻击，约 2.86亿美元 资产在12分钟内被洗劫一空。这不仅是今年最大的 DeFi 安全事件，更被多家安全机构锁定为疑似朝鲜国家背景黑客组织（如 Lazarus、UNC4736） 的“杰作”。

攻击手法：社会工程学“潜伏战”

与此前常见的智能合约漏洞利用不同，此次攻击极大概率是一场精心策划的“长线钓鱼”：

非技术性渗透：攻击者并非攻破代码，而是通过长达数月的社会工程学手段，渗透进 Drift 的安全委员会（Security Council）。他们伪装成量化交易公司人员，在加密会议中接触核心贡献者，诱导其下载恶意软件，从而窃取管理员私钥或获取多签权限。

精准爆破：攻击者在3月下旬诱导成员预签名交易，并在4月1日激活这些交易，通过存入虚假代币（CVT）作为抵押品，瞬间抽干金库中的真实资产（USDC、SOL、wBTC等）。

朝鲜“指纹”与资金流向

区块链分析公司 Elliptic 与 TRM Labs 指出，该事件具备典型的“朝鲜特征”：

洗钱路径：盗取资产后，攻击者迅速通过 Jupiter 等跨链桥将资金转移至以太坊网络，并兑换为 ETH。这种快速、隐蔽的混币模式与 Lazarus Group 过往手法高度一致。

组织关联：UNC4736（又名 AppleJeus）是近年来活跃的朝鲜黑客分支，专门通过伪造身份建立信任进行攻击。美方认为，此类资金最终多流向朝鲜的核武器与导弹研发计划。

现状与警示

Drift 团队已暂停协议并尝试与攻击者链上“对话”，但鉴于朝鲜黑客的“国家背景”，资金追回希望渺茫。该事件再次向 DeFi 行业敲响警钟：私钥管理与多签流程的人为漏洞，远比代码漏洞更致命。