6个月的精心伪装，2.8亿美元一夜蒸发：Drift Protocol 攻击事件深度分析

📍 事件背景

2026年4月2日，Solana 去中心化永续合约平台 Drift Protocol 遭大规模攻击，约2.8-2.86亿美元资金被抽空。这是 Solana 生态历史上第二大 DeFi 安全事件。Drift 官方调查披露：这不是代码漏洞，而是一场长达6个月的国家级情报渗透行动

📋 攻击时间线

• 2025年10月 — 伪装成量化交易公司，在大型加密会议上首次接触 Drift 贡献者

• 2025.10~2026.3 — 6个月内多国会议面谈，系统性接触核心贡献者，建立信任

• 2026年4月2日 — 通过代码仓库恶意链接 + TestFlight 应用入侵设备，获取管理员私钥，执行转账后清除痕迹

📋 机构调查结论

• Elliptic：链上行为与朝鲜黑客过往攻击一致

• Cyvers：与2025 Bybit 14亿美元攻击手法相似——签署者不知情批准恶意交易

• Peckshield：攻击者获取管理员私钥后抽干流动性

• Drift 官方：与2024 Radiant Capital 5000万攻击系同一团伙

📋 Circle 冻结争议

ZachXBT 公开批评 Circle 在攻击6小时内未冻结被盗 USDC。攻击者利用 Circle 自有跨链桥转移资金，但 Circle 始终未行动。

🔑 核心逻辑分析

这不是"普通黑客"，而是情报行动：

1. 时间成本极高6个月持续渗透、多国面谈、可验证身份

2. 手法与 Radiant Capital一致 信任建立+设备渗透模式

3. 第三方代理 朝鲜情报机构部署非朝鲜籍中间人执行面对面接触

4. 攻击后快速销毁痕迹 国家级网络行动的典型特征

🔑 法律角度

加密货币律师指出，Drift 事件可能构成"民事过失"—如果项目方在明知面临国家级攻击威胁下，仍未对核心贡献者实施足够安全隔离措施，可能需承担民事赔偿责任

💡 对加密市场的影响

1. Solana DeFi 安全信心承压

2. 监管审查压力加大

3. 稳定币冻结权争议再起

4. 安全审计从代码层面转向综合防御

5. DeFi 保险需求上升