想象一下:2025年秋天,迪拜加密大会的会场里,你和团队正和一群西装革履、谈吐专业的“量化交易员”碰杯。他们不仅对你的DeFi协议了如指掌,还主动提出百万美元级合作。半年后,他们在大会上反复出现、建群聊天、甚至真金白银存入上百万美元。你会起疑吗?还是觉得“这就是正常的商务拓展”?2026年4月1日(愚人节当天),Solana上最大的永续合约协议Drift Protocol,就在这样的“老朋友”信任里,遭遇了史上最精心策划的黑客攻击。根据多家媒体和链上数据,攻击者一次性卷走约2.85亿美元(约合人民币20亿),成为2026年迄今最大一笔加密黑客事件,也是Solana历史上第二大DeFi攻击。Drift团队4月5日公开详细调查报告,不是为了甩锅,而是直白地告诉全行业:代码再安全,也挡不住半年“人肉社工”。
攻击不是“突发”,而是半年“长线布局”
一切从2025年秋天开始。Drift贡献者在大型加密会议上被一群自称“量化交易公司”的人主动接近。后续半年,他们在多个国家、多次大会上反复现身:面对面聊天、建立Telegram群、讨论交易策略、Vault集成,甚至在2025年12月至2026年1月正式上线了一个Ecosystem Vault——填了详细策略表单,还存入了超过100万美元真金白银。他们技术过硬、背景可查、熟悉Drift每一个产品细节。到2-3月,大家已经把他们当成“老朋友”。4月1日攻击发生后,所有聊天记录和恶意软件瞬间被清除。Drift联合Mandiant、SEALS 911等顶级团队取证,初步结论指向:这是一场有国家背景支持的 structured intelligence operation。第三方报道(如CoinDesk、Cointelegraph)进一步确认:攻击者与2024年10月Radiant Capital黑客为同一伙——朝鲜国家支持的UNC4736(又称AppleJeus或Citrine Sleet)。链上资金流向直接追溯到Radiant事件,行动模式高度一致(第三方中介+长期线下关系建设)。值得注意的是,线下见面的人并非朝鲜国籍,而是“本地面孔”+完美LinkedIn伪装。
入侵路径:不是代码漏洞,而是“信任+便利”的致命组合
Drift官方披露了三种可能攻击向量(调查仍在进行):
代码仓库陷阱:贡献者被诱导克隆对方提供的“Vault前端”仓库。当时安全圈正预警VSCode/Cursor严重漏洞——只需打开文件夹,恶意代码就无声执行,无需任何点击或警告。
TestFlight App诱导:另一位贡献者下载了对方声称的“自有钱包”测试版App。
设备与多签重叠:更致命的是,这些操作很可能发生在持有Security Council(多签权限)的设备上。尽管Drift强调多签是冷钱包,但日常开发/测试设备的隔离明显不足。
第三方分析(如Unchained、PeckShield)补充了攻击执行细节
攻击者先通过已 compromised 的 admin key(Security Council权限),使用durable nonce预签名交易(延迟执行机制),在几分钟内:
上市了一个假冒代币CVT(CarbonVote Token);
通过wash trading操纵oracle价格;
极端提高提款限额;
快速清空约20个金库(USDC、USDT、WBTC等),总计2.85亿美金。
整个过程不到20分钟,资金大部分换成USDC,再通过Circle CCTP桥接到以太坊,买入ETH后分散。Circle因未能及时冻结资金而饱受批评(ZachXBT等链上侦探指出,Circle有6小时技术窗口却未行动)。
危害与后果
协议瘫痪,用户资金冻结,市场震动
直接损失:约2.85亿美元用户资产被盗,TVL从约5.5亿美元腰斩至2.52亿美元。
协议状态:所有剩余功能已冻结,涉事多签钱包移除,攻击者地址在各大交易所和跨链桥被标记。
用户影响:存款、提款、借贷、Vault等功能暂停,用户资金暂时锁定。社区中有人追问保险基金(部分未被黑客触及但被手动转移)的返还时间,还有用户抱怨“20美元FARTCOIN存款何时解锁”。
市场冲击:DRIFT代币24小时内暴跌约40%;Solana生态整体安全焦虑上升,SOL小幅回调。多家媒体称这是“2026年DeFi最大警钟”。
专家分析:人,才是Web3最薄弱的环节
事件一出,Twitter上炸锅了。大量开发者、DeFi老兵直指运营安全(OpSec)严重失误:
“多签设备居然用来下载App、克隆仓库?连10k美金我都不会这么干。”(多位用户)
“任何接触外部代码或App的设备,绝不能持有生产级权限。”(Youssef Nabih等安全专家)
“这不是代码bug,而是人类信任的失败——DeFi需要零信任架构。”(Blockaid等工具方分析)
也有声音相对理性:面对国家支持的黑客(“枪顶着头”),普通团队确实难防。但共识是:半年社工+完美伪装,暴露了行业对“线下信任”的过度依赖。TRM Labs、Elliptic等链上分析公司已佐证朝鲜归因,强调这类威胁正从“代码入侵”转向“供应链+社会工程”。Drift团队强调:他们已冻结协议、配合执法,并呼吁其他项目“审计谁能接触什么,把每一个碰过多签的设备都当成潜在目标”。SEALS 911团队公开表示,若怀疑被同一团伙针对,可立即联系。
信任仍是Web3最稀缺的资源
Drift事件不是简单的“黑客得手”,而是一场教科书级的情报战:攻击者花半年时间建身份、投真金、刷好感,最终用最“人性化”的方式绕过所有技术防御。2.85亿美元的代价,换来全行业一堂课——再牛的智能合约,也敌不过“老朋友”发来的链接。下次在大会上遇到“完美交易伙伴”时,别急着加微信。先问自己:他到底是来做生意的,还是来做情报的?Drift仍在努力配合调查、争取用户资产处理方案。我们会持续关注最新进展。整个DeFi生态,也该把“人”这个变量,真正当成最高风险来管理了。(本文基于Drift Protocol官方4月5日推文及CoinDesk、Cointelegraph、PeckShield、Unchained等多家第三方报道综合改编。数据截至发稿,最新进展以官方公告为准。)
声明:本文来自百年未有,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
