Drift交易所如何被北韓駭客榨乾?12分鐘搬空2.85億美金!Web3史上完美犯罪!#Drift#DeFi#區塊鏈#Web3 #加密貨幣
三句話摘要
北韓國家級駭客組織 UNC4736 透過長達六個月的社會工程學滲透,在 12 分鐘內以假幣抵押手法從 Solana 鏈上的 Drift Protocol 竊取 2.85 億美元。 --- 當駭客擁有國家預算與無限耐心時,DeFi 最脆弱的環節從來不是程式碼,而是人的信任——守住硬體錢包可讀性、多簽門檻與時間鎖,才是對抗降維打擊的最後防線。 攻擊面不是程式碼,而是人:駭客完全繞過所有智慧合約審計,改為偽裝成頂級量化做市商,花六個月建立信任關係後,誘使 Drift 高管在硬體錢包上盲簽預設好的惡意指令,這證明社會工程學已成 DeFi 最大的攻擊向量。
重點整理
重點- 1
攻擊面不是程式碼,而是人:駭客完全繞過所有智慧合約審計,改為偽裝成頂級量化做市商,花六個月建立信任關係後,誘使 Drift 高管在硬體錢包上盲簽預設好的惡意指令,這證明社會工程學已成 DeFi 最大的攻擊向量。
- 2
協議自己拆除了最後的護城河:案發前五天(3 月 27 日),Drift 為追求操作敏捷性,主動將多簽門檻從 5/5 降至 2/5,並徹底移除時間鎖,使攻擊在數學上成為不可避免——沒有緩衝窗口,人工干預的空間歸零。
- 3
預言機被幾千元種子資金欺騙,撬動數億元真實資產:駭客自鑄空氣幣 CVT,僅投入數千美元在 Raydium 建池,透過機器人對敲將價格維持在 1 美元;預言機只看價格曲線,無法識別背後幾乎為零的真實流動性,從而將空氣幣誤認為優質抵押品。
- 4
洗錢六小時窗口,Circle 未動用凍結權:得手後駭客六小時內將 2.3 億美元 USDC 透過 Circle 官方跨鏈協議 CCTP 轉移至以太坊,Circle 雖具備技術凍結能力,且在事發九天前還凍結過普通民事糾紛錢包,但對此次國家級洗錢全程未作為,引發市場強烈反彈與集體訴訟。
- 5
--
實用技巧與重點
乾貨- 數字與規模
- 被盜金額:2.85 億美元
- 攻擊時間:12 分鐘、31 筆交易
- 交易執行間隔:兩筆關鍵交易僅相差 4 個 Solana 區塊槽(約 1.6 秒)
- Drift TVL:從峰值 5.5 億美元暴跌至 2.5 億美元以下
- DRIFT 代幣跌幅:確認後數小時內 -40%,最低跌至 0.04 美元,現報 0.02 美元
- CVT 空氣幣發行量:7.5 億枚,種子流動性僅數千美元
- 存入假抵押品:5 億枚 CVT(被預言機誤估為 5 億美元)
- 各資產損失明細
- JLP(Jupiter 流動性代幣):約 4,170 萬枚,價值約 1.55 億美元
- USDC:約 7,100 萬美元
- SOL、ETH、CBTC:各數千萬美元
- 洗錢路徑
- 工具:Jupiter DEX(換幣)→ Circle CCTP(跨鏈)→ Tornado Cash(混幣)
- 六小時內轉移:2.3 億美元 USDC 跨鏈至以太坊
- 購入 ETH:約 19,913 枚,價值逾 4,200 萬美元,存入 Tornado Cash
- 攻擊者身份
- 組織代號:UNC4736
- 別名:Golden Chalima、Apple Geass、Citrin Sleet
- 隸屬:北韓網路戰部隊 Labyrinth Chalima
- 背書機構:美國 FBI 及多家安全機構白紙黑字確認為國家資助組織
- 歷史案例:2023 年 3CX 供應鏈攻擊、2024 年 Radiant Capital(5,300 萬美元)
- 技術手段
- Solana Durable Nonce:允許預先簽名、數週後引爆的延遲交易機制
- 預先部署:案發前兩週在鏈上部署 4 個惡意 Durable Nonce 帳戶
- 多簽降級:Drift 自行從 5/5 降至 2/5
- 時間鎖:Drift 自行從 24-72 小時改為 0 秒
- 提款上限:攻擊者以管理員權限解除,違規放大逾 20 倍
- 防禦建議工具與標準
- ERC-8213(以太坊交易可讀性標準):要求錢包將交易邏輯轉為可讀摘要供雙重核對
- 多簽最低門檻建議:7 分之 5 絕對多數
- 時間鎖最低建議:24 至 72 小時
- AI 多簽節點:自動偵測異常操作(如提款額暴增 20 倍)並強制熔斷
- 預言機改造方向:引入全局流動性深度指標,而非僅依賴價格曲線
- --
結論
結論“當駭客擁有國家預算與無限耐心時,DeFi 最脆弱的環節從來不是程式碼,而是人的信任——守住硬體錢包可讀性、多簽門檻與時間鎖,才是對抗降維打擊的最後防線。”
完整解析
詳細2026 年 4 月 1 日,Solana 鏈上規模最大的去中心化衍生品與借貸交易所 Drift Protocol 在 12 分鐘內被抽乾 2.85 億美元,成為 2026 年迄今全球最大 DeFi 駭客案,也是 Solana 鏈繼 2022 年 Wormhole 跨鏈橋事件後的第二大安全慘案。這場攻擊之所以令業界震驚,不在於駭客的程式碼能力,而在於整個作案過程幾乎完全發生在鏈下——在人心與制度的縫隙裡。
主導這場犯罪的是代號 UNC4736 的北韓國家級駭客組織,又稱 Golden Chalima,隸屬北韓網路戰部隊 Labyrinth Chalima。他們盜竊加密資產的目的是在國際制裁下為北韓政權取得外匯,資助核武與衛星計畫。早在 2025 年秋天,也就是案發前整整六個月,駭客便憑空偽造了一家看似背景深厚的量化交易公司,在 LinkedIn 建立完整的員工履歷與專業人脈網絡,並重金雇用非北韓籍中間人,讓他們帶著真實名片穿梭於多國 Web3 行業峰會,精準接觸 Drift 安全委員會成員。中間人切入的話題不是閒聊,而是直指痛點:深度流動性提供、永續合約金庫整合、高頻量化策略——對任何想擴張市場份額的 DeFi 協議而言,這種合作提案幾乎無法拒絕。之後的六個月,雙方加入 Telegram 群組,持續進行技術討論、測試網互動,甚至小額真實交易。這是教科書式的溫水煮青蛙:半年的朝夕相處讓 Drift 核心團隊的防禦心理被消磨殆盡。
技術層面的佈局同樣縝密。2026 年 3 月中旬,駭客在 Solana 鏈上偷偷部署了四個「耐久隨機數(Durable Nonce)」帳戶——這是一種合法的 Solana 機制,允許預先簽署的交易在數週後才執行,等同於一張空白的定時支票。駭客透過 Telegram 將惡意指令偽裝成常規參數調整,誘使兩名擁有最高管理權限的 Drift 高管在硬體錢包上按下確認鍵。硬體錢包螢幕顯示的全是人類無法判讀的十六進位亂碼,在缺乏解析工具的情況下,高管根本不知道自己簽署的是轉移平台最高管理權的授權書。而就在案發前五天(3 月 27 日),Drift 團隊為了追求極端行情下的操作敏捷性,自行將多簽門檻從 5/5 降至 2/5,並將時間鎖從 24 至 72 小時歸零。這個決定親手抹去了最後一道人工干預的機會,讓攻擊在邏輯上成為不可避免。
攻擊本身是一場精心設計的 DeFi 經濟學套利魔術,而非暴力入侵。駭客事先鑄造了 7.5 億枚毫無價值的空氣幣 CVT(Carbon Volt Token,名字刻意借用以太坊 2016 年 The DAO 事件的歷史典故,帶有明確的黑客文化嘲諷意味),並在 Raydium 上建立只有數千美元種子資金的流動性池,透過數百個機器人瘋狂對敲,將價格穩定維持在 1 美元。鏈上預言機只看到平滑的價格曲線,無法偵測背後幾乎為零的真實流動性,於是將 CVT 誤認為具備深厚市場深度的合法資產。4 月 1 日世界協調時間 16:05,兩枚沉睡的 Durable Nonce 炸彈在短短 1.6 秒內連續引爆:第一筆交易奪取平台最高管理員權限,第二筆交易正式廢除安全委員會所有控制權,全程未觸發任何警報。獲得上帝權限後,駭客立刻將 CVT 列入合法抵押品白名單,解除五個主要資產池的提款上限(放大逾 20 倍),再將 5 億枚 CVT 假幣存入抵押金庫。智慧合約被矇蔽的預言機欺騙,毫不猶豫地允許駭客以「5 億美元優質抵押品」借出真實資產。接下來的 12 分鐘,31 筆交易如開閘洪水,JLP 核心金庫單筆被捲走 4,170 萬枚(價值約 1.55 億美元),USDC 損失 7,100 萬美元,SOL、ETH、CBTC 各損失數千萬美元,合計 2.85 億美元人間蒸發。
得手後,駭客在六小時內完成了 Web3 史上最高效的跨鏈洗錢:先透過 Jupiter DEX 將所有 DeFi 原生代幣換為 USDC,再透過 Circle 官方跨鏈傳輸協議 CCTP 將 2.3 億美元 USDC 單向轉移至以太坊,最後掃入逾 19,000 枚 ETH(約 4,200 萬美元)存入 Tornado Cash 切斷追蹤鏈。Circle 雖具備智慧合約底層的凍結權限,且早在九天前還凍結過普通民事糾紛的企業錢包,卻對這筆國家級洗錢全程袖手旁觀,引發市場強烈譴責,美國律所 GibbsMura 隨即準備對 Circle 發起集體訴訟。這場攻擊的漣漪透過 DeFi 可組合性(composability)迅速擴散,重創至少 20 個深度整合 Drift 的 Solana 生態協議,Drift 代幣在數小時內暴跌逾 40%,最低觸及 0.04 美元,現已跌至 0.02 美元新低。
這場事件為整個行業留下的教訓是系統性的:必須推廣 ERC-8213 等標準消除硬體錢包盲簽黑洞,讓每筆交易的真實意圖人類可讀;時間鎖與高門檻多簽(建議至少 7 分之 5)是不可妥協的防禦底線,不能以效率為由廢除;預言機必須納入全局流動性深度作為核心指標,而非僅依賴價格;多簽架構中應引入 AI 節點,對提款上限暴增、無歷史紀錄代幣獲得抵押資格等極端異常行為自動熔斷。
---
關鍵時刻
Pipeline v2帶時間戳的重點,會在逐字稿層級分析上線後產生。目前請先透過原始影片觀看。
事實查核
Pipeline v2說法查證是下一次管線升級的一部分。KeyFrame 只會顯示它真正能驗證的內容。
