#DriftProtocolHacked #DriftProtocolHacked

一場涉及假抵押品、預簽交易以及朝鮮勞工黨手法的高級攻擊，在2026年4月1日清除了超過一半的 Drift TVL。

攻擊概述

2026年4月1日，Solana 最大的永續合約去中心化交易所 Drift Protocol 發生嚴重漏洞，導致多個資產金庫損失超過 $286 百萬。

令人特別擔憂的是，此次攻擊並未涉及智能合約漏洞或種子短語被盜。相反，攻擊者策劃了一個精心設計的操作，結合了：

· 社交工程多簽簽署人
· 耐用隨機數預簽交易
· 假抵押品創建，價值 $0 操控至超過 $100M+
· 移除時間鎖保護

TVL 在一小時內從約 $550 百萬崩潰至不到 $250 百萬。DRIFT 代幣下跌45%，最低接近 $0.04。

---

時間線：為期3週的行動

第一階段：基礎設施建立 (2023年3月11-23日)

行動於3月11日開始，攻擊者從 Tornado Cash 隱私協議提取 ETH。3月12日，他們部署了 CarbonVote 代幣 (CVT) — 特別是在平壤時間約09:00，這成為日後將攻擊與朝鮮聯繫的紅旗。

在接下來的幾週內，攻擊者：

· 鑄造了7.5億個 CVT 代幣 (價值基本為 $0)
· 在 Raydium DEX 提供少量流動性 (約$500)
· 使用洗盤交易人工維持 CVT 價格在 $1.00 附近
· 創建了4個耐用隨機數帳戶 — 其中2個與 Drift 安全部長簽署人相關，另外2個由攻擊者控制

第二階段：預簽與多簽妥協 (2023年3月23-30日)

利用 Solana 的耐用隨機數功能 (允許預先簽署交易並在稍後執行，無到期時間)，攻擊者誘使 Drift 安全部長預簽看似例行的交易，但實際上是藏有惡意授權密鑰的預備金。

3月27日，Drift 進行了預定的多簽遷移，將簽署門檻調整為2/5，並且 — 重要的是 — 完全移除了時間鎖。時間鎖通常會對管理操作施加24-72小時的延遲，讓社群有時間反應。沒有時間鎖，攻擊者可以立即執行。

到3月30日，攻擊者已重新取得對新多簽結構中2個簽署人的存取權。

第三階段：執行 — 12分鐘內 $286M (2026年4月1日)

時間 (UTC) 行動
16:05:39 攻擊者啟動預簽交易，將 CVT 列為有效抵押品，將提款限制提高到約500兆 (幾乎無限)
16:05:41 存入5億 CVT 代幣 — 操控預言機值至超過 $100M+
16:05:43-16:17 31筆提款交易抽走實體資產：JLP、USDC、SOL、cbBTC、wETH 等

整個武器化過程比點一杯咖啡的時間還短。

攻擊將三個關鍵行動合併成一個交易：

1. 使用攻擊者控制的 Switchboard 預言機初始化 CVT 現貨市場
2. 將 CVT 抵押品權重設為最大 — 無價值的代幣被視為主要抵押品
3. 禁用提款保護 — 移除所有資產流出限制

#DriftProtocolHacked

被盜內容

攻擊者抽走了多個金庫的資產：

資產 金額（約）(
JLP 代幣 $155.6 百萬
USDC $60.4 百萬
cbBTC $11.3 百萬
USDS $5.3 百萬
FARTCOIN $4.1 百萬
WBTC $4.4 百萬
WETH $4.7 百萬
JitoSOL $3.6 百萬
SYRUPUSDC $3.3 百萬
INF $2.5 百萬
MSOL $2.0 百萬

資料來源：鏈上數據 via @officer_secret

JLP 金庫已被完全抽空。
)

誰是幕後黑手？

安全公司 Elliptic 和 TRM Labs 已將此次攻擊歸因於與 DPRK #DriftProtocolHacked 朝鮮(相關的威脅行為者，特別是勞工黨集團。

歸因證據包括：

· Tornado Cash 起源於初始行動
· CVT 部署時間與平壤營業時間相符 )09:00(
· 高度社交工程手法 — 與2022年 Ronin 橋漏洞相同
· 攻擊後洗錢速度與跨鏈模式
· 使用耐用隨機數 — 與 DPRK 的交易手法一致

「這是一個高度複雜的操作，似乎涉及數週的準備與階段性執行，包括使用耐用隨機數帳戶預簽交易以延遲執行。」
— Drift Protocol 官方聲明

若此事證實，將是2026年第18起與 DPRK 相關的加密貨幣盜竊事件，今年已被盜資金超過 )百萬**。據估計，朝鮮行為者已盜取超過 $1億的加密貨幣$300