今年最大的 DeFi 駭客攻擊發生在上週 4 月 1 日,Solana 網路上最大的永續合約去中心化交易所之一 Drift Protocol 遭遇攻擊,約 2.86 億美元從協議中消失。此次攻擊與北韓相關駭客有關,整個駭客攻擊僅在 10 秒內完成。然而,這次駭客攻擊令人驚訝的是其精心策劃的性質。沒有代碼被破壞,也沒有智能合約存在漏洞。來自 Elliptic 和 TRM Labs 等加密貨幣鑑識公司的調查實際上指向了一次更加精心策劃的駭客攻擊。
北韓攻擊者花費三週時間製造了一個名為 CarbonVote 的假代幣,投入數千美元使其看起來真實,同時透過社交工程手段誘使 Drift 五名多重簽名安全委員會簽署者中的兩名預先簽署他們並不完全理解的隱藏授權。隨後,他們使用 Solana 的一項名為「持久隨機數」的功能將這些簽名保留了一週多,等待合適的時機。4 月 1 日僅需一筆交易即可完成。
正如 Elliptic 所指出的,這次攻擊是今年與北韓相關的第 18 起加密貨幣駭客攻擊,從該領域抽走約 3 億美元。駭客攻擊發生四天後,Ledger 的技術長公開強調此次駭客攻擊的驚人性質,並表示 AI 正在將此類攻擊的成本「降低到零」。這一聲明非常重要,因為 Drift 駭客攻擊是這些操作現今如何運作的案例研究。攻擊者不需要零日漏洞或頂尖密碼學家。他們所需要的只是耐心、一個令人信服的假代幣和兩個可以操縱的人類。這次駭客攻擊實際上暴露了當今 DeFi 的結構性漏洞。DeFi 正在建設由少數可能被欺騙的人保護的數十億美元基礎設施,而對手在這方面越來越擅長。
北韓如何在 10 秒內竊取 2.86 億美元
Drift 協議駭客攻擊是一次精密的攻擊,歷時三週準備。彭博社於 4 月 1 日首次報導了此次漏洞,當時 Drift 協議確認約 2.86 億美元的用戶資產被抽走。整個計劃實際上早在 3 月 11 日就開始了,當時攻擊者於平壤時間上午 9 點左右從 Tornado Cash 提取 10 ETH,並用它部署假代幣 CarbonVote (CVT),這是一個完全虛構的資產,投入數千美元流動性,並透過洗售交易維持活躍。
在接下來的兩週內,3 月 23 日至 3 月 30 日期間,攻擊者開設了持久隨機數帳戶,這是 Solana 網路上的合法功能,允許交易被預先簽署並無限期保存而不會過期。在此期間,攻擊者透過社交工程手段誘使 Drift 五名安全委員會多重簽名簽署者中的兩名批准看似正常的交易,但正如 TRM Labs 後來確認的,這些交易帶有關鍵管理控制的隱藏授權。
最後一步發生在 3 月 27 日,根據 BlockSec 報導,Drift 將其安全委員會遷移到新的 2/5 門檻配置且無時間鎖,這基本上移除了唯一能讓任何人察覺即將發生事件的延遲。到 4 月 1 日時,陷阱已經完全準備好數天。
4 月 1 日,攻擊者使用這些預先簽署的批准將 CarbonVote 列為有效抵押品,透過操縱預言機定價將其價值膨脹至數億美元,並奪取了治理權。從那裡開始,31 筆提款交易在幾秒鐘內清空了 Drift 的金庫。僅最大一筆就包含價值超過 1.55 億美元的 JLP 代幣,以及數千萬 USDC、SOL、ETH 和其他流動性質押代幣被抽走,協議的總鎖定價值立即從約 5.5 億美元暴跌至 2.5 億美元以下。
駭客攻擊的速度只是這個故事的一部分。一個持續長達三週的詳細計劃最終在 10 秒內完成駭客攻擊,顯示了治理而非代碼是多麼容易成為 DeFi 中最薄弱的環節。
北韓在 2026 年的 3 億美元加密貨幣戰爭
據報導,這次由北韓相關攻擊者實施的駭客攻擊絕非孤立事件。事實上,如果你查看過去幾年一些最引人注目的駭客攻擊,就會發現這是更大規模國家驅動活動的一部分。僅今年,Elliptic 報告稱 Drift 攻擊使其成為第 18 起歸因於朝鮮民主主義人民共和國的加密貨幣盜竊,將今年迄今被抽走的資金總額推至超過 3 億美元。如果放眼今年之外,來自單一國家的此類駭客攻擊規模變得很難忽視。根據 TRM Labs 的數據,去年北韓相關行為者竊取了 19.2 億美元,而 Chainalysis 將這一數字定為 20.2 億美元的加密貨幣。這標誌著該組織實施的駭客攻擊年增 51%,並將其歷來盜竊總額推至 67.5 億美元。
北韓在 2025 年佔所有服務入侵的創紀錄 76%,這意味著一個國家對該行業發生的絕大多數盜竊負責。在此背景下,Drift 駭客攻擊現在是繼 2022 年 Wormhole 漏洞之後 Solana 生態系統內第二大攻擊,符合攻擊模式。
定義該模式的是一致性。2025 年 2 月的 Bybit 駭客攻擊是歷史上最大的加密貨幣盜竊,具有幾乎相同的設置,包括社交工程、受損存取和協調資金轉移。TRM Labs 指出,朝鮮民主主義人民共和國操作者越來越依賴「中國洗錢」網路,在數小時內跨不同鏈橋接資金。
Drift 攻擊實際上顯示了一個國家支持的團隊系統,運行多週操作,包括偵察、人為操縱和全球洗錢基礎設施已經到位。
AI 正在將攻擊成本「降低到零」:Ledger 技術長警告
Drift 資金流失四天後,Ledger 技術長 Charles Guillemet 告訴 CoinDesk 一些重新定義整個事件的內容。「發現漏洞並利用它們變得非常非常容易,」他說。「成本正在降低到零。」Guillemet 沒有點名 Drift,但他描述了其確切機制。AI 不僅幫助攻擊者更快找到代碼錯誤,它還使社交工程更具說服力,網路釣魚更加個人化,並且北韓操作者在 Drift 上花費三週進行的準備工作變得更便宜且可擴展性提高一個數量級。他還指出防禦方面的複合問題:隨著更多開發人員依賴 AI 生成的代碼,漏洞可能比人類審查員能發現的速度更快傳播。「沒有『使其安全』的按鈕,」他說。「我們將產生大量設計上不安全的代碼。」駭客攻擊和漏洞在過去一年造成了 14 億美元的加密貨幣損失,Guillemet 的預測是曲線變得更陡峭,而非更平坦。
Drift 駭客攻擊是該警告最清晰的概念驗證。攻擊者從未觸及代碼,他們針對持有密鑰的兩個人類。如果 AI 能夠生成足夠令人信服的藉口來欺騙多重簽名簽署者批准他們不完全理解的交易,則無需破壞智能合約。Guillemet 預計該行業將分裂:錢包和核心協議等關鍵系統將大量投資於安全並適應,但更廣泛的軟體生態系統可能難以跟上步伐。他建議的修復方法,使用數學證明的形式驗證、私鑰的硬體隔離,在結構上是合理的,但需要大多數 DeFi 協議(包括 Drift)尚未建立的機構紀律水平。「當你有一個不連接網路的專用設備時,它在設計上就更安全,」他說。Drift 安全委員會沒有這樣的緩衝。兩個簽名、零時間鎖和一個假代幣就足夠了。
接下來會發生什麼:Drift 的復原和產業反應
Drift Protocol 接下來會發生什麼遠不清楚,早期跡象已經使該行業產生分歧。在事件發生後不久,Anatoly Yakovenko 提出了一條潛在的復原路徑:向受影響的用戶發行 IOU 式代幣空投,模仿 Bitfinex 在 2016 年 7,200 萬美元駭客攻擊後的做法。
這個想法很簡單——現在將損失社會化,如果協議復原則隨時間償還用戶。但背景非常不同。Drift 的總鎖定價值已被削減近一半,存款和提款仍然暫停,而且與 Bitfinex 不同,它缺乏集中式收入引擎來支撐這些負債。這導致了立即的反對:在這種情況下,IOU 代幣可能成為純粹的投機工具,沒有明確的贖回路徑。
與此同時,鏈上活動引發了新的擔憂。Onchain Lens 標記了與 Drift 團隊相關的錢包在攻擊發生後不久將 5,625 萬 DRIFT 代幣(≈244 萬美元)轉移到包括 Bybit 和 Gate 在內的中心化交易所,這種舉動通常先於賣壓,並引發了關於流動性危機期間內部定位的猜測。
與此同時,攻擊者的資金已經跨鏈橋接,最顯著的是轉移到 Ethereum,隨著每一天的過去,有意義復原的可能性都在降低。更廣泛的含義是這一事件不會以 Drift 結束。它可能會加速全行業對 DeFi 治理本身的審查,從多重簽名安全標準和時間鎖要求到預言機設計和執行控制。接下來會發生什麼取決於三個變數:Drift 是否能提出可信的復原計劃,是否有任何部分資金可以被追蹤或凍結,以及這是否最終迫使結構性改革,或成為該行業度過的又一個昂貴教訓。
如果你正在閱讀這篇文章,你已經領先了。透過我們的電子報保持領先。
來源:https://www.cryptopolitan.com/drift-protocol-hack-north-korea-ai/
