Drift Protocol 史詩級黑客攻擊 What Happened?
三句話摘要
北韓駭客組織 UNC4736 以六個月社交工程滲透 Drift Protocol,利用竊得的 Admin Key 在 15 秒內清空近 3 億美元資產。 Admin Key 集中於單一帳號且缺乏 Timelock 與 Multi-sig 保護,是比程式碼漏洞更危險的架構風險,而社交工程已升級為歷時數月、面對面進行的情報行動,技術審查遠不足以防範。 社交工程是主要攻擊面,而非程式碼漏洞。 攻擊者偽裝成 CoinTrade 合作方,在多國加密會議與 Drift 團隊反覆面對面互動長達六個月,甚至真實存入逾 100 萬美元建立信任,最終誘使團隊成員安裝含惡意程式碼的工具,從而取得 Admin Key。
重點整理
重點- 1
社交工程是主要攻擊面,而非程式碼漏洞。 攻擊者偽裝成 CoinTrade 合作方,在多國加密會議與 Drift 團隊反覆面對面互動長達六個月,甚至真實存入逾 100 萬美元建立信任,最終誘使團隊成員安裝含惡意程式碼的工具,從而取得 Admin Key。
- 2
Admin Key 架構缺陷是致命弱點。 Drift Protocol 設計允許 Admin Key 持有者無需任何延遲或多重簽名即可執行高風險操作,包含新增市場、關閉熔斷器、任意設定預言機。這不是程式碼 Bug,而是系統架構本身的風險集中問題。
- 3
假幣套現流程環環相扣,15 秒完成。 攻擊者先鑄造 CVT 假幣並以受控預言機灌入億元帳面價值,再逐一關閉五個主要市場的熔斷器,最後以假抵押品借走 USDC、WETH、DSOL、JLP、CBBTC,整套流程如同用合法管理員身份操作,系統毫無警報。
- 4
此攻擊模式已是國家級情報行動標配。 UNC4736 同樣被指為 2014 年 Radiant Capital(損失 5,000 萬美元)及 2022 年 Ronin Bridge(損失 6 億美元)事件的幕後組織,手法一脈相承,但每次社交工程的深度與持續時間都在升級。
實用技巧與重點
乾貨- 數字與規模
- Drift TVL 被攻擊前:超過 5.5 億美元
- 金庫損失:3 億美元 → 4,000 萬美元,損失逾 2 億美元
- 攻擊持續時間:不超過 15 秒
- 社交工程準備期:超過 6 個月
- 攻擊者存入的「信任保證金」:逾 100 萬美元
- 跨鏈後購入 ETH:約 19,000 枚,價值約 4,260 萬美元
- Jupiter DEX 代幣跌幅:超過 20%($0.072 → $0.049)
- CVT 假幣鑄造量:7.5 億枚,其中 5 億枚用於抵押
- CVT 帳面抵押價值:設定為數億美元
- 熔斷器操作次數:每市場 20 次,共 5 個市場
- 工具、模型與平台
- 受攻擊平台:Drift Protocol(Solana 去中心化永續合約交易所)
- 跨鏈橋接目標:以太坊
- 套現工具:Jupiter DEX 聚合器
- 預言機系統:Switchboard Oracle(被攻擊者替換為自控地址)
- 受影響代幣:USDC、WSOL、BTC、WETH、DSOL、JLP、CBBTC 及多種穩定幣
- 安全研究員:Alma Goldberg(發布完整鏈上分析 Thread)
- 攻擊者組織標籤:UNC4736(北韓關聯威胁行為者)
- 攻擊技術步驟
- 取得 Admin Key(社交工程目標)
- 呼叫 `Initialize Spot Market` 函數,建立第 63 號現貨市場(CVT 代幣)
- 將 CVT 的 Mint Authority 設為 `New`(固定供應,看似合法)
- 預鑄 7.5 億枚 CVT,全數歸攻擊者所有
- 填入自控 Switchboard Oracle 地址,操控 CVT 報價為天價
- 逐一關閉 USDC、WETH、DSOL、JLP、CBBTC 五市場熔斷器(每市場 20 次操作)
- 存入 5 億枚 CVT 作抵押,Protocol 顯示為合規巨額擔保品
- 連續借出所有主流資產
- 透過 Jupiter 換成 USDC,跨鏈至以太坊並兌換 ETH
- 已知可對比案例
- 2022 年 Ronin Bridge:損失 6 億+ 美元,同類手法
- 2014 年 Radiant Capital:損失 5,000 萬美元,確認同為 UNC4736
- 防禦機制關鍵詞
- Timelock(操作延遲生效)
- Multi-sig / Multi-sync(多重簽名)
結論
結論“Admin Key 集中於單一帳號且缺乏 Timelock 與 Multi-sig 保護,是比程式碼漏洞更危險的架構風險,而社交工程已升級為歷時數月、面對面進行的情報行動,技術審查遠不足以防範。”
完整解析
詳細Drift Protocol 是 Solana 鏈上最大的去中心化永續合約交易所之一,支援逾 40 個市場、最高 101 倍槓桿,被攻擊前 TVL 超過 5.5 億美元,屬於 Solana DeFi 的核心基礎設施。事件發生於 4 月 1 日,官方在 Twitter 特別聲明「This is not an April Fool's joke」,隨後幾天的調查報告將整起事件重新定性——這不是一次傳統的智能合約漏洞攻擊,而是一場精心策劃、歷時超過六個月的國家級社交工程行動。
事件的起點可追溯至 2025 年秋天的一場大型加密貨幣會議。一群自稱來自 CoinTrade 公司的人接觸了 Drift 團隊,表示希望將自家量化交易策略整合至 Drift 平台。這群人技術語言流利,對 Drift 架構高度熟悉,LinkedIn 履歷與公開背景均可查驗,初次會面即建立 Telegram 工作群組——這完全符合 DeFi 行業 BD 合作的正常流程。在隨後數月中,雙方進行深度技術交流,討論交易策略與金庫整合方案;2025 年 12 月至 2026 年 1 月,對方正式提交 Ecosystem 申請表,多次進行 working session,並存入逾 100 萬美元的真實資金進入平台,以鞏固合作信任。到了今年 2、3 月,Drift 多位團隊成員已在不同國家的會議現場與這批人面對面見面,雙方關係早已從陌生人升格為業務夥伴。正是在這個過程中,攻擊者以「分享開發中工具與應用」為由,讓團隊成員安裝了藏有惡意程式碼的軟體,最終取得了 Drift Protocol 的 Admin Key。
拿到 Admin Key 之後,攻擊者展開的不是傳統意義上的「入侵」,而是以最高管理員身份執行了一套完整的市場操控流程。第一步,呼叫 `Initialize Spot Market` 函數,在 Drift 上建立第 63 號現貨市場——CVT 代幣,將其 Mint Authority 設為不可增發的固定供應,外觀上完全像一枚合法代幣,同時預鑄 7.5 億枚全數歸自己所有;第二步,填入自己控制的 Switchboard Oracle 地址,讓 Protocol 相信 CVT 的市場報價是數億美元;第三步,在動手前先對 USDC、WETH、DSOL、JLP、CBBTC 五個流動性最高的市場各執行 20 次操作,將熔斷上限拉到系統無法觸發警報的程度;最後,存入 5 億枚 CVT 作為抵押品,以 Protocol 眼中「合規」的巨額擔保,連續借走所有主流資產。整個流程從第一筆操作到最後一分錢離開,不超過 15 秒,資金隨後透過 Jupiter DEX 聚合器換成 USDC,跨鏈至以太坊,並在當天下午兌換為約 1.9 萬枚 ETH(價值 4,260 萬美元)。金庫總值由 3 億美元驟降至 4,000 萬美元。
安全研究員 Alma Goldberg 的鏈上分析指出,Drift 此次暴露的核心缺陷並非程式碼 Bug,而是架構設計將過多高風險權限集中於單一 Admin Key,任何持有者都可在無延遲、無多重簽名制衡的情況下立即執行。Drift 安全團隊以中至高度信心研判,此次攻擊者與 2014 年 Radiant Capital 事件(損失 5,000 萬美元)為同一組織 UNC4736,屬北韓國家關聯的威脅行為者;而 Ronin Bridge 2022 年的 6 億美元事件亦被指與其相關。值得警惕的是,北韓在此級別行動中往往部署具備完整合法身份的第三方中介人進行面對面接觸,幾乎無法透過常規商業盡職調查識破。目前鏈上追蹤仍在進行,執法機構與鏈上分析公司已介入,但鏈上資金一旦轉走,追回的機率極低,官方尚無正式賠償方案。
對於仍在使用 DeFi 平台的用戶,此事件帶來三個立即可行的教訓:第一,分散資金,不將所有資產集中於單一協議,無論其 TVL 多大;第二,在選擇平台前確認其是否具備 Timelock(操作延遲生效)及 Multi-sig(多重簽名)機制,缺乏這兩項的協議風險等級應直接上調;第三,出事後主動追蹤官方頻道的最新公告,不依賴二手資訊,自行掌握賠償進度與資金處理方向。
關鍵時刻
Pipeline v2帶時間戳的重點,會在逐字稿層級分析上線後產生。目前請先透過原始影片觀看。
事實查核
Pipeline v2說法查證是下一次管線升級的一部分。KeyFrame 只會顯示它真正能驗證的內容。
