#DriftProtocolHacked #DriftProtocolHacked

涉及假抵押、预签名交易和朝鲜 Lazarus 组织策略的复杂攻击，于2026年4月1日清除了 Drift 超过一半的 TVL。

攻击概述

2026年4月1日，Solana 最大的永续合约去中心化交易所 Drift Protocol 遭遇灾难性漏洞，导致多个资产金库损失超过 $286 百万。

此次攻击尤为令人担忧的是，它并未涉及智能合约漏洞或密钥泄露。相反，攻击者执行了一项精心策划的操作，结合了：

· 多签签名者的社会工程学
· 持久 nonce 预签名交易
· 假抵押品创建，价值 $0 被操控显示为超过 1 亿美元
· 移除时间锁保护

TVL 在一小时内从大约 $550 百万崩溃至不到 $250 百万。DRIFT 代币下跌45%，最低接近 $0.04。

---

时间线：为期3周的行动

第一阶段：基础设施搭建 (2023年3月11-23日)

行动于3月11日开始，攻击者从 Tornado Cash（隐私协议）提取 ETH。3月12日，他们部署了 CarbonVote 代币 (CVT)——特别是在平壤时间大约09:00，这成为后来将此次攻击与朝鲜联系起来的一个警示信号。

在接下来的几周内，攻击者：

· 铸造了7.5亿个 CVT 代币 (价值基本为 $0)
· 在 Raydium DEX 上提供了极少的流动性 (约$500)
· 通过洗盘交易人为维持 CVT 价格在 $1.00 附近
· 创建了4个持久 nonce 账户——其中2个绑定在 Drift 安全部会签名者，另外2个由攻击者控制

第二阶段：预签名与多签妥协 (2023年3月23-30日)

利用 Solana 的持久 nonce 功能 (允许交易预签名后可在无到期时间的情况下执行)，攻击者诱导 Drift 安全部会成员预签看似常规的交易，但实际上是持有备用的恶意授权密钥。

3月27日，Drift 执行了计划中的多签迁移，将签名阈值改为2/5，并——关键——完全移除了时间锁。通常，时间锁会对管理操作强制24-72小时的延迟，为社区提供响应时间。没有时间锁，攻击者可以立即执行操作。

到3月30日，攻击者已重新获得对新多签结构中2个签名者的访问权限。

第三阶段：执行——12分钟内 $286M (2026年4月1日)

时间 (UTC) 操作
16:05:39 攻击者激活预签名交易，将 CVT 列为有效抵押品，将提款限制提高到约65亿亿 (几乎无限)
16:05:41 存入5亿CVT代币——操控的预言机值显示为$100M+
16:05:43-16:17 31笔提款交易抽走真实资产：JLP、USDC、SOL、cbBTC、wETH 等

整个武器化过程比点一杯咖啡的时间还短。

此次攻击将三项关键操作打包成一笔交易：

1. 使用攻击者控制的 Switchboard 预言机初始化 CVT 现货市场
2. 将 CVT 抵押品权重设置为最大——无价值的代币被视为优质抵押品
3. 禁用提款保护——移除所有资产流出限制

#DriftProtocolHacked

被盗资产

攻击者从多个金库中抽走资产：

资产 数量（美元） (大约)
JLP 代币 $1.556亿
USDC $6040万
cbBTC $1130万
USDS $530万
FARTCOIN $410万
WBTC $440万
WETH $470万
JitoSOL $360万
SYRUPUSDC $330万
INF $250万
MSOL $200万

来源：链上数据通过 @officer_secret

JLP 金库已被完全清空。
#DriftProtocolHacked

攻击背后是谁？

安全公司 Elliptic 和 TRM Labs 将此次攻击归咎于与 DPRK (朝鲜)相关的威胁行为者，特别是 Lazarus 组织。

归因证据包括：

· Tornado Cash 来源用于初步布局
· CVT 部署时间与平壤工作时间匹配 (09:00)
· 高级社会工程学策略——与2022年 Ronin 桥漏洞相同
· 攻击后洗钱速度快、跨链模式
· 使用持久 Nonces——与 DPRK 的交易手法一致

“这是一场高度复杂的行动，似乎涉及数周的准备和 staged 执行，包括使用持久 nonce 账户预签交易以延迟执行。”
—— Drift Protocol 官方声明

如果得到确认，这将是2026年第18起与 DPRK 相关的加密盗窃事件，今年已盗取超过 $300 百万**。估计朝鲜行为者今年已盗取超过1亿美元的加密资产#DriftProtocolHacked