Drift Protocol 週六發布了迄今最詳盡的說明，揭露了 4 月 1 日的攻擊事件，該事件從基於 Solana 的永續合約交易所中盜取了約 2.8 億美元。該團隊將此次攻擊描述為一場「結構化情報行動」，歷時約六個月策劃。

根據最新資訊，初次接觸發生在 2025 年秋季前後，當時，自稱量化交易公司的人員在一次大型加密貨幣會議上接觸了 Drift 的貢獻者，並表達了在協議上整合的興趣。在首次會面時，建立了一個 Telegram 群組，隨後幾個月，這些人繼續在多個國家的行業活動中與 Drift 貢獻者進行面對面會談。

在 2025 年 12 月至 2026 年 1 月期間，該組織在 Drift 上線了一個生態系統金庫 (Ecosystem Vault)，填寫了標準策略表格，與貢獻者進行了多次工作會議，並存入了超過 100 萬美元的自有資金。Drift 表示，這種行為與合法交易公司通常整合協議的方式一致。

攻擊事件後對受影響設備和通訊記錄的鑑識審查指出，這種關係可能是入侵途徑。Drift 表示，該組織的 Telegram 聊天記錄和相關惡意軟體在攻擊啟動的瞬間被清除。

兩種可能的攻擊途徑

Drift 的初步評估發現了兩種可能的入侵方法。一位貢獻者可能在複製了該組織以部署其金庫前端為藉口分享的程式碼儲存庫後受到感染。第二位貢獻者則被誘騙透過 Apple 的 TestFlight 安裝了該組織聲稱是其錢包產品的應用程式測試版。

對於儲存庫途徑，Drift 指出了一個 VS Code 和 Cursor 漏洞，安全研究人員曾在 2025 年 12 月至 2026 年 2 月期間公開警告過該漏洞，在編輯器中僅僅打開一個文件、資料夾或儲存庫，就可能在沒有用戶提示的情況下靜默執行任意程式碼。

正如 The Block 先前報導，此次攻擊本身不涉及智能合約漏洞。Drift 將其描述為「一種涉及持久 Nonce 的新型攻擊」，這是一種合法的 Solana 原語，允許交易預先簽署並在稍後執行。攻擊者預先獲得了多重簽名授權，可能是透過社交工程或交易資訊誤導，然後利用這些預簽名授權在數分鐘內奪取了安全委員會的管理權限並抽乾了協議資金。

北韓關聯

Drift 表示，在 SEAL 911 團隊的支援下，他們「中度偏高確信」此次行動是由同一批國家資助的北韓行為者執行，這些行為者對 2024 年 10 月 Radiant Capital 價值 5000 萬美元的駭客攻擊負責，Mandiant 將該攻擊歸因於 UNC4736（亦稱 AppleJeus 或 Citrine Sleet），這是一個與北韓偵察總局有關聯的駭客組織。

根據 Drift 的說法，兩者之間的關聯基於鏈上和運營方面的重疊。用於策劃和測試 Drift 行動的資金流向可追溯到 Radiant 攻擊者，Drift 表示，此次行動中部署的角色與已知的北韓相關活動有可識別的重疊。

值得注意的是，Drift 強調親自出席會議的人並非北韓公民。協議表示，在此級別運作的北韓威脅行為者已知會部署第三方中介來處理關係建立工作，此次行動中使用的個人資料擁有完整的就業歷史、公開的資歷和專業網絡，旨在抵禦交易對手方的盡職調查。

Mandiant，Drift 已聘請其主導鑑識調查，尚未正式歸因此次 Drift 攻擊事件。該歸因結果有待完成設備鑑識後才能確定。

Drift 的現狀

Drift 表示，所有剩餘的協議功能已被凍結，受損的錢包已從多重簽名中移除，攻擊者的地址已向交易所和橋接運營商進行標記。鏈上偵探 ZachXBT 則另外批評穩定幣發行商 Circle 的反應遲緩，指稱攻擊者在六小時內透過 CCTP 從 Solana 橋接了約 2.32 億美元的 USDC 到 Ethereum，期間沒有任何資金被凍結。

Drift 攻擊是 2026 年迄今為止最大的 DeFi 駭客攻擊事件，在 Solana 歷史上，其規模僅次於 2022 年 Wormhole 橋接攻擊中被盜的 3.25 億美元，位居第二大安全事件。

Drift 感謝獨立研究人員和 SEAL 911 成員 Taylor Monahan、tanuki42_、pcaversaccio 和 Nick Bax 在識別攻擊者方面的工作，並敦促任何認為可能被同一組織鎖定的團隊直接聯繫 SEAL 911。

tanuki42_ 在 X 上寫道：「說實話，這是我在加密貨幣領域見過北韓發動的最為精心策劃和具針對性的攻擊。」他還警告說，其他協議也可能成為目標。「招募多名協助者，然後讓他們在現實生活中於大型加密貨幣活動中鎖定特定人士，這是一種瘋狂的戰術。」