Drift Protocol 2.85亿美元被盗案：一场国家级黑客长达六个月的“职场潜伏”

2026年4月1日，Solana生态最大的永续合约去中心化交易所Drift Protocol遭遇毁灭性攻击，约2.85亿美元用户资产在短短10秒内被席卷一空。 这并非一次普通的智能合约漏洞利用，而是一场由国家级黑客组织精心策划、持续长达半年的“职场渗透战”。从伪装成量化交易公司到植入恶意代码，再到利用多签管理漏洞一击致命——这起事件将DeFi安全博弈从代码层面推向了情报与心理对抗的新高度。

一、事件核心：10秒洗劫2.85亿美元

4月1日（美东时间），Drift Protocol的协议管理权限被黑客成功获取。攻击者利用被盗的管理员密钥，在Solana链上迅速上线了一个无价值代币的新现货市场，随后关闭了协议的提款保护机制。通过伪造抵押品价值，黑客从流动性池中系统性提取了高价值资产。

被盗资产涵盖JLP代币（约1.55亿美元）、USDC、SOL、cbBTC、WETH以及部分meme币，总计约2.85亿美元。攻击发生后，Drift Protocol的锁仓量（TVL）从约5.5亿美元骤降至约2.3亿美元，DRIFT代币价格应声暴跌。截至调查期间，黑客地址已累计持有超过13万枚ETH（价值约2.66亿美元），并开始通过跨链桥和混币器进行洗钱。

二、攻击手法还原：一场长达六个月的“职场谍战”

这起攻击的核心并非代码漏洞，而是社会工程学的极致运用。黑客早在2025年秋季便开始了部署，整个攻击链分为三个阶段。

第一阶段：伪装身份，用真金白银建立信任（2025年秋季）

黑客伪装成一家“合法且资金雄厚的量化交易公司”，主动接触Drift Protocol的团队成员。为了让自己看起来完全无害且值得信赖，他们甚至在Drift生态的金库中存入了超过100万美元的自有资金。这笔“诚意金”让团队放下了戒心，双方建立了正式的工作群组，开始围绕交易策略展开实质性对话。

第二阶段：深度渗透，植入后门（2025年12月至2026年3月）

在长达数月的交流中，黑客利用两个“陷阱”完成了技术渗透。其一是GitHub陷阱：他们诱导一名核心贡献者打开一个分享的代码仓库，该仓库利用了代码编辑器VSCode/Cursor的已知漏洞。当贡献者打开项目时，恶意指令在后台自动执行，黑客成功植入了后门。其二是App陷阱：另一名贡献者被诱导下载了一个伪装成钱包产品的恶意应用程序，手机上直接被安装了监控软件。

至此，黑客已经能够实时监控团队的内部沟通、密钥操作和开发进度。

第三阶段：技术突袭，10秒收网（2026年4月1日）

在技术层面，黑客利用了Solana的“Durable Nonce”账户机制，预先生成了所有恶意交易的签名，确保在获得权限后能够瞬间执行。更致命的是，在攻击发生前约一周，Drift Protocol将多签机制调整为“2/5”模式——即5个签名者中只要2人同意即可执行关键操作，并且没有设置时间锁。这一配置漏洞被黑客精准利用，使得他们在10秒内完成了所有提权操作。

三、幕后黑手：朝鲜国家级黑客组织“UNC4736”

多家区块链安全公司（包括慢雾、TRM Labs）以及Drift官方调查均将此次攻击归因于与朝鲜政府有关联的组织UNC4736（又名Citrine Sleet、AppleJeus）。

作案手法高度吻合：黑客使用Tornado Cash筹集初始资金，代币部署时间点恰逢平壤当地时间上午09:30，洗钱模式与此前归因于朝鲜的攻击（如2024年的Radiant Capital事件、2025年的Bybit事件）完全一致。

国家级资源投入：长达六个月的潜伏、伪装成量化公司、动用社会工程学资源——这绝非普通黑客团伙所能为。TRM Labs指出，这标志着DeFi攻击已从单一的漏洞利用，升级为由国家力量支持的高级别情报战。

四、连带冲击：Quickswap Discord服务器遭入侵

几乎在同一时间，去中心化交易协议Quickswap的官方Discord服务器也被未授权访问。攻击者控制了官方认证账号，发布虚假空投链接，诱导用户连接钱包执行恶意授权。

虽然该事件未造成大规模资产损失，但它与Drift事件共同折射出Web3社群基础设施的致命短板：攻击入口从传统代码漏洞转向社群权限劫持，攻击载体从仿冒网站转向官方渠道，信任欺骗性更强。一个Discord管理员账号被盗，就可能导致整个社区用户被“合法”收割。

五、行业警示：DeFi安全进入“高对抗”新时代

最大的漏洞不是代码，而是“人”

慢雾创始人余弦指出，此次事件的根本原因在于“多签方案迁移至2/5且无timelock的配置”，攻击者借此在数小时内接管admin权限。只要“人”这一环被攻破——无论是被钓鱼、被植入后门，还是内部管理失误——再复杂的智能合约也无济于事。

量化交易已成高危领域

黑客伪装成量化交易公司、风投机构等手法在现实中屡见不鲜。Drift团队曾与一个“专业量化团队”合作数月，最终发现对方是黑客。这给行业所有参与者敲响了警钟：在建立合作之前，必须对合作方进行严格的背景调查，并保持零信任心态。

DeFi的默认假设正在崩塌

传统的DeFi安全模型默认“预言机是可信的”“管理员密钥是安全的”。但当国家级黑客以长达半年的人力情报行动全面渗透时，这些假设变得极其脆弱。未来，DeFi协议需要建立多层防御机制：多签必须配合时间锁、管理员操作必须有多人复核、团队成员的设备必须进行安全隔离。

法律追责启动

美国律师事务所Gibbs Mura已宣布对Drift Protocol展开集体诉讼调查，为受损投资者追讨损失。这也提醒所有DeFi项目方：安全不是可选项，而是生存底线。

六、总结：一场改变行业认知的攻击

Drift Protocol 2.85亿美元被盗事件，是2026年迄今最严重的DeFi安全事件，也是第一次有国家级黑客以“职场潜伏”方式攻陷头部协议。它告诉行业：安全漏洞不再隐藏在智能合约的某一行代码里，而可能藏在团队成员的手机里、邮件里，甚至藏在那个与你讨论了三个月合作方案的“靠谱伙伴”的身份背后。

当攻击者从“找漏洞”升级为“打人”，防御也必须从“修代码”升级为“建体系”。否则，下一个Drift，可能就在明天。