Solana 鏈上知名衍生品協議 Drift Protocol 4 月 1 日遭到駭客攻擊,損失約 2.85 億美元,平台鎖倉量(TVL)從事發前的約 5.5 億美元,在事發後驟降至約 2.3 億美元。Drift 團隊隨後發布詳細調查報告,揭露這是一場歷時 6 個月、具備國家級資源支撐的社會工程學攻擊。
Table of Contents
根據 Drift 的調查,攻擊者早在 2025 年秋季便開始部署。他們以合法量化交易公司的身分,在多個加密貨幣大會上接觸 Drift 的貢獻者,建立了看似真實的職業關係。在長達 6 個月的滲透期間,攻擊者:
- 建立 Telegram 群組,與 Drift 團隊討論交易策略
- 以真實資金(超過 100 萬美元)在生態系統 Vault 中建立可信度
- 在多個國家進行多次工作會議
最終入侵可能透過兩個管道完成:一名貢獻者複製了一個可能利用 VSCode/Cursor 已知漏洞的程式碼倉庫;另一名貢獻者下載了攻擊者以「錢包產品」為名提供的 TestFlight App。
技術層面,攻擊者使用了 Solana 上的「Durable Nonce」帳戶機制——這是一種允許預先簽署交易、延後執行的功能。攻擊者利用它來預先準備好所有惡意交易的簽名,在取得足夠權限後瞬間執行,留給防禦方極少的反應時間。
攻擊者迅速取得了 Drift 安全委員會的管理權,隨後清空相關資產。Drift 事後強調,所有多簽成員均使用冷錢包,但仍無法阻止攻擊,顯示「當攻擊鎖定人為層面時,即便嚴格的硬體控管也可能被繞過」。
Drift 表示,以「中高度信心」將此次攻擊歸因於 UNC4736(又名 Citrine Sleet、AppleJeus),一個與北韓政府有關聯的駭客組織。調查指出,事件模式與 2024 年 10 月導致 Radiant Capital 損失 5,800 萬美元的攻擊高度吻合,認為出自同一批行為者。
攻擊後,另一個爭議焦點是 Circle 的反應速度。根據 PeckShield 數據,攻擊者從 Drift 竊走約 7,100 萬美元 USDC,並在將其他被盜資產轉換為 USDC 後,透過 Circle 的跨鏈轉帳協議(CCTP)將約 2.32 億美元的 USDC 從 Solana 橋接至以太坊,使追討難度大幅上升。
知名鏈上調查員 ZachXBT 批評 Circle 行動太慢,並指出一個諷刺的對比:就在攻擊者設置 Durable Nonce 帳戶的同一天(3 月 23 日),Circle 卻在幾分鐘內就凍結了 16 個商業熱錢包,起因是一起美國民事訴訟——但面對規模遠超 9 位數的 DeFi 攻擊,卻沒有同等迅速的行動。
Circle 的回應是:「Circle 是一家受監管的公司,依照制裁規定、執法命令及法院命令合規運作。我們在法律要求的情況下凍結資產,以符合法治原則並保護用戶權利與隱私。」Plume 的法律顧問則呼籲立法機構建立「安全港」機制,讓穩定幣發行人在有合理根據相信資金涉嫌違法時,可以凍結資產而免於民事責任。
Drift 的公告在業界引發廣泛關注。這起攻擊清楚說明,國家級駭客組織正在對 DeFi 協議發動長達數月的人力情報(HUMINT)行動,而非僅靠技術漏洞。關鍵教訓包括:不要在接觸生產金鑰或多簽的機器上複製外部倉庫、安裝第三方應用或開啟不明連結;裝置與存取權限的隔離必須徹底落實。
風險提示
加密貨幣投資具有高度風險,其價格可能波動劇烈,您可能損失全部本金。請謹慎評估風險。
