4月1日,Solana上最大的去中心化永续期货交易所Drift Protocol,在不到一小时内被抽走2.86亿美元。这不是愚人节玩笑——区块链浏览器上的转账记录比任何公告都诚实。
PeckShield的分析师发现,攻击者很可能拿到了协议的管理员私钥。这相当于拿到了金库的万能钥匙,不仅能提款,还能修改权限设置。
Elliptic的追踪更指向一个熟悉的幕后推手:朝鲜民主主义人民共和国(DPRK)关联的黑客组织。如果确认,这是Elliptic今年追踪到的第18起朝鲜关联加密盗窃案,年内累计涉案金额已超3亿美元。
1小时清空三大金库:攻击者的"采购清单"
攻击从Drift的三个核心流动性金库同时下手。JLP Delta Neutral金库、SOL Super Staking金库、BTC Super Staking金库——名字里带"Super"的,往往是用户最信任的池子。
单笔最大转账:4170万枚JLP代币,按当时价格约1.55亿美元。这笔交易的Gas费可能不到1美元,却完成了传统银行劫匪需要装甲车和内应才能实现的规模。
其余资产包括USDC、SOL、cbBTC、wBTC及各类流动性质押代币。攻击者的口味很杂,但逻辑清晰:只拿流动性最好的,方便后续洗钱。
DeFiLlama数据显示,Drift的总锁仓价值(TVL)从约5.5亿美元骤跌至2.5亿美元以下。这是2026年迄今最大的DeFi黑客事件,也是Solana生态史上第二大安全漏洞——仅次于2022年Wormhole桥的3.26亿美元被盗案。
朝鲜黑客的"产业链":从代码供应链到私钥钓鱼
Elliptic指出的链上行为、洗钱手法和网络层特征,与DPRK过往攻击高度吻合。朝鲜黑客的加密盗窃累计已超65亿美元,美国官方直接将其与朝鲜武器计划资金挂钩。
这次攻击并非孤立事件。就在此前,Google将Axios npm包的供应链入侵归因于朝鲜威胁组织UNC1069。从开发者工具到DeFi协议,攻击面在持续扩张。
Drift团队在X平台确认事件后,立即暂停所有存取款,并协调多家安全公司、跨链桥服务商和交易所进行止损。但区块链的不可逆性意味着,钱一旦转出,追回的概率随时间指数下降。
管理员私钥:DeFi的"阿喀琉斯之踵"
PeckShield认定的攻击根因——管理员私钥泄露——暴露了一个尴尬的现实。许多DeFi协议标榜"去中心化",但核心权限仍集中在少数多签钱包或甚至单点控制。
JLP Delta Neutral这类产品承诺"市场中性"收益,用户以为风险来自价格波动,没想到风险来自钥匙保管。这种预期错位,是DeFi安全叙事中最常见的陷阱。
朝鲜黑客的组织化程度远超普通网络犯罪。他们有时间、有预算、有国家背书,可以针对特定协议进行长达数月的潜伏和社工。相比之下,大多数DeFi团队的安全预算可能还不及一个前端工程师的年薪。
Drift的2.86亿美元漏洞,会让多少协议重新审计自己的权限设计?
热门跟贴