朝鲜 Lazarus 组织涉嫌参与 Drift Protocol 2.86亿美元 Solana 盗窃案
Drift Protocol 是 Solana 网络上最大的去中心化永续期货交易所,在目睹其锁定总价值(TVL)在一个早晨从约5.5亿美元暴跌至2.5亿美元以下后确认了此次攻击,目前为2.32亿美元。Bitcoin.com News 首先报道了这一问题。DRIFT 代币在随后几小时内下跌了37%至42%,最低触及0.04美元至0.05美元附近。
报道指出,攻击并非始于代码漏洞,而是从 Tornado Cash 提款开始。3月11日,攻击者从基于以太坊的隐私协议中提取 ETH,并使用这些资金在3月12日部署了 carbonvote 代币(CVT)。区块链分析师注意到,部署时间戳对应平壤时间约上午09:00,这一细节立即引起了警觉。
DRIFT 代币于2026年4月3日。多份报告详细说明,在接下来的三周内,攻击者在 Raydium 去中心化交易所为 CVT 注入了最少的流动性,并使用虚假交易将价格维持在1.00美元附近。Drift 的预言机将该价格视为合法。攻击者建立了虚假抵押品,对所有监控的自动化系统来说看起来都是真实的。
"今天早些时候,一名恶意行为者通过涉及持久随机数的新型攻击获得了对 Drift Protocol 的未经授权访问,导致迅速接管了 Drift 安全委员会的管理权限," Drift 团队写道。
该项目的 X 账户补充道:
表面上看,在3月23日至3月30日之间,Drift 攻击者转向了人为层面。攻击者据报使用名为持久随机数的合法 Solana 功能,诱使 Drift 安全委员会多重签名成员预先签署看似常规的交易。这些签名成为预先批准的访问密钥,被保留到攻击者准备就绪为止。
破口在3月27日关闭,当时 Drift 将其安全委员会迁移到2/5签名阈值,并完全移除了时间锁。时间锁通常会强制管理操作延迟24至72小时,让社区有时间发现并撤销任何可疑操作。没有了它,攻击者就拥有了零延迟的执行权限。时间锁消失的那一刻,预签名交易就已生效。
4月1日,攻击者激活了这些交易,将 CVT 列为有效抵押品,提高了提款限额,并存入数亿 CVT 代币,Drift 的风险引擎针对这些代币发行了真实资产。该协议交出了数百万 JLP 代币、数百万 USDC、数百万 SOL,以及少量的比特币和以太坊包装币。31笔提款交易在大约12分钟内完成。
攻击者使用 Jupiter 将被盗代币转换为 USDC,桥接到以太坊,并兑换成数万 ETH。部分资金通过 Hyperliquid 转移,一部分直接转移到币安。4月3日,Drift 从以太坊地址向四个黑客控制的钱包发送了链上消息。cryptonomist.ch 出版物报道称该消息内容为:
安全公司 Elliptic 和 TRM Labs 将此次攻击归因于与朝鲜有关的威胁行为者,理由包括 Tornado Cash 来源、平壤时间部署签名、社会工程重点以及黑客攻击后的洗钱速度。Lazarus 组织在2022年 Ronin 桥黑客攻击中使用了同样的耐心和人为目标方法。美国政府已将这些盗窃案与朝鲜武器项目资金联系起来,Elliptic 追踪到仅2026年第一季度就有超过3亿美元被盗。
传染蔓延到20多个协议。Prime Numbers Fi 报告损失数百万美元。Carrot Protocol 在其50% TVL 受影响后暂停了铸造和赎回功能。Pyra Protocol 完全禁用了提款,导致所有用户资金无法访问。Piggybank 损失了10.6万美元,并从自己的团队金库中向用户进行了赔偿。
纳斯达克上市公司 DeFi Development Corp. 采用 Solana 资金策略,在4月1日确认没有 Drift 敞口。其风险框架完全排除了该协议。这一事实引起了比公司可能预期更多的关注。
Drift 事件产生了一个清晰的教训,大多数行业已经知道但尚未完全应用:时间锁不是可选的。3月27日移除这一单一保障措施,将一个复杂的、持续数周的攻击转变为12分钟的套现。没有延迟机制的协议治理就是敞开大门的治理。
DeFi 攻击后的接下来48小时被描述为 Drift 保留用户信任和规划恢复路径能力的关键时期。截至4月3日,尚未宣布全面的赔偿计划。
常见问题 🔎
- Drift Protocol 发生了什么? 攻击者于2026年4月1日从 Drift Protocol 盗取了2.86亿美元,使用虚假抵押品和预签名管理交易在12分钟内清空了协议的核心金库。
- 谁应对 Drift Protocol 黑客攻击负责? 包括 Elliptic 和 TRM Labs 在内的安全公司将此次攻击归因于与朝鲜有关的威胁行为者,理由是洗钱模式和链上时间戳与 Lazarus 组织的手法一致。
- 我在 Drift Protocol 上的资金安全吗? Drift 在攻击后暂停了所有存款和提款;截至2026年4月3日,Pyra 和 Carrot 等受影响协议中的用户仍无法访问资金。
- 什么是 Solana DeFi 中的持久随机数攻击? 持久随机数攻击使用合法的 Solana 功能预先签署看似常规的交易,将其作为实时授权密钥持有,直到攻击者选择执行它们。
来源: https://news.bitcoin.com/drift-protocol-hack-2026-what-happened-who-lost-money-and-whats-next/
