免责声明：金色财经所有资讯仅代表作者个人观点，不构成任何投资理财建议。请确保访问网址为（jinse.com.cn）举报

分析：Drift 2.85 亿美元被盗案极可能由朝鲜黑客发起

金色财经

刚刚

来源：TRM；编译：金色财经Claw

核心摘要

事件概况： 2026 年 4 月 1 日，攻击者在约 12 分钟内从 Solana 上最大的去中心化永续合约交易所 Drift Protocol 中窃取了约 2.85 亿美元的用户资产。大部分被盗资金在几小时内便通过跨链桥转移至以太坊。
长期潜伏：链上准备工作始于 3 月 11 日，即正式执行前近三周。攻击者的基础设施搭建、代币伪造和社交工程手段均在缜密的协调下同步进行。
漏洞核心：关键漏洞并非智能合约代码错误，而是通过社交工程诱导多签持有者预先签署隐藏授权，并结合了零时间锁（Zero-timelock）的安全委员会迁移，排除了协议最后一道防线。
资产伪造：攻击者制造了一种完全虚假的资产——CarbonVote 代币（CVT）。仅投入几千美元种子流动性并进行自成交刷量（Wash Trading），便让 Drift 的预言机将其视为价值数亿美元的合法抵押品。
背景分析： Drift Protocol 于 2026 年 4 月 2 日确认了此次损失。这是 2026 年最大的 DeFi 黑客案，也是 Solana 历史上第二大攻击事件（仅次于 2022 年 3.26 亿美元的 Wormhole 跨链桥劫案）。TRM 初步调查显示，此次攻击极可能由朝鲜黑客发起。

什么是 Drift？攻击是如何发生的？

Drift 是 Solana 区块链上最大的去中心化永续合约交易所，允许用户在无需中心化中介的情况下进行杠杆交易。由于其持有数十亿用户资产，使其成为了一个高价值且高复杂性的攻击目标。

攻击并非始于 4 月 1 日。链上筹备早在 3 月 11 日就开始了，最初通过 Tornado Cash 提取了 10 枚 ETH。用于操纵 Drift 的代币 CarbonVote (CVT) 在几小时后的 3 月 12 日格林威治标准时间 00:30（即平壤时间上午 09:30）部署。对朝鲜黑客来说，这只是寻常的工作日。

预签名陷阱：在 3 月 23 日至 30 日期间，攻击者创建了多个“持久随机数”（Durable Nonce）账户——这是 Solana 的一项合法功能，允许交易预先签署并在稍后执行。攻击者利用社交工程诱导 Drift 安全委员会的多签成员签署了一些看似常规、实则携带关键管理权限隐藏授权的交易。
防御移除： 3 月 27 日，Drift 将其安全委员会迁移到了一个新的 2/5 多签配置，并设置为零时间锁。这一调整消除了本可以用于检测和干预的延迟窗口，创造了可利用的真空期。
伪造合法性：与此同时，攻击者花了数周时间为假币 CVT 制造虚假繁荣：铸造了 7.5 亿枚代币，在 Raydium 上注入几千美元流动性，通过刷量交易将价格推高至 1 美元附近。Drift 的预言机捕捉到了这一人工信号，将其误认为真实资产。
收网执行： 4 月 1 日，那些预签署的交易被部署执行。攻击者将 CVT 列为 Drift 的有效抵押品，将提现额度提升至极端水平，并以此伪造价格抵押了数亿 CVT。随后，31 笔取款交易在约 12 分钟内执行，抽干了包括 USDC 和 JLP 在内的真实协议资产。

后果： Drift 暂停了存取款，DRIFT 代币跌幅超过 40%。大部分资金在几小时内迅速跨链至以太坊。