Drift被黑2.86億：朝鮮黑客第18次出手

4月1日，Solana上最大的去中心化永續期貨交易所Drift Protocol，在不到一小時內被抽走2.86億美元。這不是愚人節玩笑——區塊鏈瀏覽器上的轉賬記錄比任何公告都誠實。

PeckShield的分析師發現，攻擊者很可能拿到了協議的管理員私鑰。這相當于拿到了金庫的萬能鑰匙，不僅能提款，還能修改權限設置。

Elliptic的追蹤更指向一個熟悉的幕后推手：朝鮮民主主義人民共和國（DPRK）關聯的黑客組織。如果確認，這是Elliptic今年追蹤到的第18起朝鮮關聯加密盜竊案，年內累計涉案金額已超3億美元。

1小時清空三大金庫：攻擊者的"采購清單"

攻擊從Drift的三個核心流動性金庫同時下手。JLP Delta Neutral金庫、SOL Super Staking金庫、BTC Super Staking金庫——名字里帶"Super"的，往往是用戶最信任的池子。

單筆最大轉賬：4170萬枚JLP代幣，按當時價格約1.55億美元。這筆交易的Gas費可能不到1美元，卻完成了傳統銀行劫匪需要裝甲車和內應才能實現的規模。

其余資產包括USDC、SOL、cbBTC、wBTC及各類流動性質押代幣。攻擊者的口味很雜，但邏輯清晰：只拿流動性最好的，方便后續洗錢。

DeFiLlama數據顯示，Drift的總鎖倉價值（TVL）從約5.5億美元驟跌至2.5億美元以下。這是2026年迄今最大的DeFi黑客事件，也是Solana生態史上第二大安全漏洞——僅次于2022年Wormhole橋的3.26億美元被盜案。

朝鮮黑客的"產業鏈"：從代碼供應鏈到私鑰釣魚

Elliptic指出的鏈上行為、洗錢手法和網絡層特征，與DPRK過往攻擊高度吻合。朝鮮黑客的加密盜竊累計已超65億美元，美國官方直接將其與朝鮮武器計劃資金掛鉤。

這次攻擊并非孤立事件。就在此前，Google將Axios npm包的供應鏈入侵歸因于朝鮮威脅組織UNC1069。從開發者工具到DeFi協議，攻擊面在持續擴張。

Drift團隊在X平臺確認事件后，立即暫停所有存取款，并協調多家安全公司、跨鏈橋服務商和交易所進行止損。但區塊鏈的不可逆性意味著，錢一旦轉出，追回的概率隨時間指數下降。

管理員私鑰：DeFi的"阿喀琉斯之踵"

PeckShield認定的攻擊根因——管理員私鑰泄露——暴露了一個尷尬的現實。許多DeFi協議標榜"去中心化"，但核心權限仍集中在少數多簽錢包或甚至單點控制。

JLP Delta Neutral這類產品承諾"市場中性"收益，用戶以為風險來自價格波動，沒想到風險來自鑰匙保管。這種預期錯位，是DeFi安全敘事中最常見的陷阱。

朝鮮黑客的組織化程度遠超普通網絡犯罪。他們有時間、有預算、有國家背書，可以針對特定協議進行長達數月的潛伏和社工。相比之下，大多數DeFi團隊的安全預算可能還不及一個前端工程師的年薪。

Drift的2.86億美元漏洞，會讓多少協議重新審計自己的權限設計？