Solana 链上知名衍生品协议Drift Protocol 4 月1 日遭到黑客攻击，损失约2.85 亿美元，平台锁仓量（TVL）从事发前的约5.5 亿美元，在事发后骤降至约2.3 亿美元。 Drift 团队随后发布详细调查报告，揭露这是一场历时6 个月、具备国家级资源支撑的社会工程学攻击。

6 个月的潜伏：从加密货币大会到程式码仓库

根据Drift 的调查，攻击者早在2025 年秋季便开始部署。他们以合法量化交易公司的身分，在多个加密货币大会上接触Drift 的贡献者，建立了看似真实的职业关系。在长达6 个月的渗透期间，攻击者：

• 建立Telegram 群组，与Drift 团队讨论交易策略
• 以真实资金（超过100 万美元）在生态系统Vault 中建立可信度
• 在多个国家进行多次工作会议

最终入侵可能透过两个管道完成：一名贡献者复制了一个可能利用VSCode/Cursor 已知漏洞的程式码仓库；另一名贡献者下载了攻击者以「钱包产品」为名提供的TestFlight App。

技术手法：Durable Nonce 预签交易绕过多签

技术层面，攻击者使用了Solana 上的「Durable Nonce」帐户机制——这是一种允许预先签署交易、延后执行的功能。攻击者利用它来预先准备好所有恶意交易的签名，在取得足够权限后瞬间执行，留给防御方极少的反应时间。

攻击者迅速取得了Drift 安全委员会的管理权，随后清空相关资产。 Drift 事后强调，所有多签成员均使用冷钱包，但仍无法阻止攻击，显示「当攻击锁定人为层面时，即便严格的硬体控管也可能被绕过」。

指向UNC4736：与Radiant Capital 攻击同一组人

Drift 表示，以「中高度信心」将此次攻击归因于UNC4736（又名Citrine Sleet、AppleJeus）。调查指出，事件模式与2024 年10 月导致Radiant Capital 损失5,800 万美元的攻击高度吻合，认为出自同一批行为者。

Circle 遭批评：为何未能即时冻结被盗USDC？

攻击后，另一个争议焦点是Circle 的反应速度。根据PeckShield 数据，攻击者从Drift 窃走约7,100 万美元USDC▲，并在将其他被盗资产转换为USDC▲后，透过Circle 的跨链转帐协议（CCTP）将约2.32 亿美元的USDC▲从Solana 桥接至以太坊，使追讨难度大幅上升。

知名链上调查员ZachXBT 批评Circle 行动太慢，并指出一个讽刺的对比：就在攻击者设置Durable Nonce 帐户的同一天（3 月23 日），Circle 却在几分钟内就冻结了16 个商业热钱包，起因是一起美国民事诉讼——但面对规模远超9 位数的DeFi 攻击，却没有同等迅速的行动。

Circle 的回应是：「Circle 是一家受监管的公司，依照制裁规定、执法命令及法院命令合规运作。我们在法律要求的情况下冻结资产，以符合法治原则并保护用户权利与隐私。」Plume 的法律顾问则呼吁立法机构建立「安全港」机制，让稳定币发行人在有合理根据相信资金涉嫌违法时，可以冻结资产而免于民事责任。

对DeFi 产业的警示

Drift 的公告在业界引发广泛关注。这起攻击清楚说明，国家级骇客组织正在对DeFi 协议发动长达数月的人力情报（HUMINT）行动，而非仅靠技术漏洞。关键教训包括：不要在接触生产金钥或多签的机器上复制外部仓库、安装第三方应用或开启不明连结；装置与存取权限的隔离必须彻底落实。

本文链接地址：https://www.wwsww.cn/DeFi/38031.html
郑重声明：本文版权归原作者所有，转载文章仅为传播更多信息之目的，如作者信息标记有误，请第一时间联系我们修改或删除，多谢。