12分钟2.85亿没了！Drift Protocol遭遇2026最大DeFi劫案，朝鲜黑客如何攻破多签？

• 1

  社會工程學才是真正武器，而非程式碼漏洞。

• 2

  攻擊者假扮行業人士、創立假量化公司，花6個月建立信任後誘導核心開發者下載植入惡意程式的工具，智能合約本身毫無漏洞，人才是突破口。

• 3

  缺少時間鎖的多簽等同虛設。

• 4

  Drift在3月27日將多簽策略改為2/5並新增4位簽名者，但未設時間鎖；一旦新簽名者憑證洩露，攻擊者可即時執行任何管理員操作，毫無緩衝空間。

• 5

  持久化隨機數帳戶（Durable Nonce）讓攻擊可精準定時引爆。

• 6

  攻擊者預先創建4個Durable Nonce帳戶（2個綁定合法簽名者、2個自控），將誘騙來的簽名儲存備用，等到4月1日一次廣播，滿足2/5門檻後瞬間清空金庫。

• 7

  預言機信任悖論放大了攻擊規模。

• 8

  攻擊者僅注入數千美元流動性並透過自買自賣穩住CVT價格，Drift預言機只核驗價格與流動性深度，無法辨別資產合法性，導致無價值代幣被當作高價值抵押品使用。

• 9

  --

• 數字與損失
• 被盜總額：2.85億美元
• 主要組成：4,170萬個GLP代幣（約1.55億美元）+ USDC、SOL、CBBTC、WBTC、WETH及其他
• Drift平台TVL：從5.5億美元降至2.55億美元，跌幅53.62%
• 平台幣DRIFT：24小時內跌逾36%，最低報0.045美元，市值剩2,660萬美元
• 恐懼與貪婪指數：4月2日跌至12（極度恐懼區間）
• 2.32億USDC透過Circle CCTP從Solana跨鏈至以太坊，歷時6小時、逾100筆交易，Circle未攔截
• 時間線
• 2024年10月：Radiant Capital被同組織攻擊（損失約5,000萬美元），同批測試資金可追溯至此
• 2025年秋～2026年3月：滲透期，偽裝參會、建立假公司、植入惡意工具
• 2026年3月27日：Drift多簽遷移（2/5策略，新增4簽名者，未設時間鎖）
• 2026年4月1日下午4:05 UTC：廣播所有預簽名交易
• 12分鐘內：上線CVT現貨市場→關閉提款限制→清空金庫
• 攻擊者工具與手法
• Tornado Cash（啟動資金來源，10枚ETH）
• 偽造代幣：CVT（Carbon Vault Token），注資數千美元穩定在1美元
• Durable Nonce帳戶（Solana特有功能）
• 跨鏈橋接組合與Bybit 2025年攻擊手法一致
• 部署時間：平壤時間上午9:30（朝鮮上班時間）
• 組織情報
• 組織名稱：UNC4736，別名Citroen Sleet、Apple Juice、Labyrinth Cholima
• 隸屬：朝鮮偵察總局
• Chainalysis統計：2025年朝鮮透過駭客竊取20億美元加密貨幣，較2024年增長51%
• 資金用途：美國政府多次確認流入彈道導彈與核武計畫
• 2026年已確認18起朝鮮發動的攻擊，損失逾3億美元
• 監管動態
• 美國眾議院通過三項加密法案（含Clarity法案），厘清SEC/CFTC權限
• 歐盟MiCA穩定幣條款：2026年6月30日強制實施
• 德國、義大利提議賦予歐盟封鎖不合規境外穩定幣的權力
• --

“Drift事件最深刻的教訓是：再完美的程式碼審計與再高的多簽門檻，都無法彌補「沒有把人列入安全架構核心變數」這個根本性的設計缺陷。”