疑似北韓 Lazarus 集團犯下 Drift Protocol 2.86 億美元 Solana 竊案
Drift Protocol 是 Solana 網路上最大的去中心化永續期貨交易所,在目睹其總鎖倉價值 (TVL) 於單日上午從約 5.5 億美元暴跌至 2.5 億美元以下後確認遭受攻擊,目前為 2.32 億美元。Bitcoin.com News 率先報導此事件。DRIFT 代幣在接下來的數小時內下跌了 37%–42%,觸底至 0.04 至 0.05 美元附近。
報導指出,攻擊並非始於程式碼漏洞,而是從 Tornado Cash 提款開始。3 月 11 日,攻擊者從基於以太坊的隱私協議中提取了 ETH,並於 3 月 12 日使用這些資金部署了 carbonvote 代幣,即 CVT。區塊鏈分析師注意到,部署時間戳對應於平壤時間約 09:00,這一細節立即引起警覺。
DRIFT 代幣於 2026 年 4 月 3 日。多份報告詳細說明,在接下來的三週內,攻擊者在 Raydium 去中心化交易所為 CVT 提供了極少的流動性,並使用虛假交易維持價格接近 1.00 美元。Drift 的預言機將該價格視為合法。攻擊者建立了對每個監控系統看起來都真實的假抵押品。
「今天早些時候,一名惡意行為者透過涉及持久隨機數的新型攻擊未經授權存取了 Drift Protocol,導致迅速接管了 Drift 安全委員會的管理權限,」Drift 團隊寫道。
該專案的 X 帳戶補充道:
表面上,在 3 月 23 日至 3 月 30 日之間,Drift 攻擊者轉向了人為層面。據報導,攻擊者使用名為持久隨機數的合法 Solana 功能,誘使 Drift 安全委員會多重簽名成員預先簽署看似常規的交易。這些簽名成為預先批准的存取金鑰,保留至攻擊者準備就緒。
3 月 27 日,當 Drift 將其安全委員會遷移至 2/5 簽名門檻並完全移除時間鎖時,攻擊窗口關閉。時間鎖通常會對管理操作強制執行 24 至 72 小時的延遲,讓社群有時間發現並逆轉任何可疑行為。沒有時間鎖,攻擊者擁有零延遲執行權限。時間鎖一消失,預先簽署的交易立即生效。
4 月 1 日,攻擊者啟動了這些交易,將 CVT 列為有效抵押品,提高了提款限額,並存入了數億 CVT 代幣,Drift 的風險引擎據此發行了真實資產。該協議交出了數百萬 JLP 代幣、數百萬 USDC、數百萬 SOL,以及較少量的封裝比特幣和以太坊。31 筆提款交易在約 12 分鐘內清算完成。
攻擊者使用 Jupiter 將竊取的代幣轉換為 USDC,橋接至以太坊,並兌換成數萬 ETH。部分資金透過 Hyperliquid 轉移,一部分直接轉移至 Binance。4 月 3 日,Drift 從以太坊地址向四個駭客控制的錢包發送了鏈上訊息。cryptonomist.ch 報導稱該訊息內容為:
安全公司 Elliptic 和 TRM Labs 將此次攻擊歸因於與北韓有關的威脅行為者,理由是 Tornado Cash 來源、平壤時間部署簽名、社交工程重點以及攻擊後的洗錢速度。Lazarus 集團在 2022 年 Ronin 橋駭客攻擊中使用了相同的耐心和針對人的方法。美國政府已將這些竊案與北韓的武器計劃資金聯繫起來,Elliptic 追蹤顯示僅 2026 年第一季就有超過 3 億美元被盜。
傳染蔓延至 20 多個協議。Prime Numbers Fi 報告了數百萬美元的損失。Carrot Protocol 在 50% 的 TVL 受到影響後暫停了鑄造和贖回功能。Pyra Protocol 完全禁用了提款,導致所有使用者資金無法存取。Piggybank 損失了 106,000 美元,並從自己的團隊金庫中償還了使用者。
在納斯達克上市的 DeFi Development Corp. 擁有 Solana 資產策略,於 4 月 1 日確認其沒有 Drift 敞口。其風險框架完全排除了該協議。這一事實引起了比公司可能預期更多的關注。
Drift 事件產生了一個大多數業界已經知道但尚未完全應用的明確教訓:時間鎖不是可選的。3 月 27 日移除這一單一保障措施,將一次複雜的多週攻擊轉變為 12 分鐘的套現。沒有延遲機制的協議治理就是敞開大門的治理。
DeFi 攻擊後的接下來 48 小時被描述為 Drift 保留使用者信任和規劃恢復路徑的關鍵時刻。截至 4 月 3 日,尚未宣布全面的賠償計劃。
常見問題 🔎
- Drift Protocol 發生了什麼事? 攻擊者於 2026 年 4 月 1 日從 Drift Protocol 盜取了 2.86 億美元,使用假抵押品和預先簽署的管理交易在 12 分鐘內清空了協議的核心金庫。
- 誰對 Drift Protocol 駭客攻擊負責? 包括 Elliptic 和 TRM Labs 在內的安全公司將此次攻擊歸因於與北韓有關的威脅行為者,理由是洗錢模式和鏈上時間戳與 Lazarus 集團的手法一致。
- 我在 Drift Protocol 上的資金安全嗎? Drift 在攻擊後暫停了所有存款和提款;截至 2026 年 4 月 3 日,Pyra 和 Carrot 等受影響協議的使用者仍無法存取資金。
- 什麼是 Solana DeFi 中的持久隨機數攻擊? 持久隨機數攻擊使用合法的 Solana 功能預先簽署看似常規的交易,將其作為即時授權金鑰保留,直到攻擊者選擇執行它們。
來源: https://news.bitcoin.com/drift-protocol-hack-2026-what-happened-who-lost-money-and-whats-next/
