漂移协议因复杂网络入侵事件暂停所有业务

运行于Solana区块链的去中心化衍生品交易平台漂移协议于2026年4月1日宣布全面停止服务，起因是其系统内检测到持续数月的深层恶意渗透。数字安全机构确认此次攻击与一个具有朝鲜背景的黑客团体密切相关，被视作近年来最具战略性的去中心化金融基础设施攻防案例之一。该平台自2021年上线以来，以提供高杠杆交易工具和创新流动性机制著称，长期活跃于Solana生态核心位置。

隐蔽渗透始于跨国技术交流，逐步构建信任链

溯源显示，攻击者最早在2025年秋季通过一场国际加密会议接触协议开发团队，伪装成一家量化对冲基金的技术代表，提出将机构资金管理系统接入漂移协议的整合方案。

此后六个月内，攻击方频繁参与全球多个行业峰会，以专业技术人员身份与核心成员建立面对面联系。初期沟通通过专属电报频道展开，内容涵盖产品架构设计与接口规范，随后转入定期视频会议，深入讨论底层交易引擎优化与风险控制逻辑。

2025年12月，攻击者成功植入一套虚假的生态金库模块，注入逾百万美元资产，并借此获得更高权限访问。进入2026年初，其持续输出“开源贡献”与技术建议，进一步巩固与开发团队之间的协作关系。

内部审计事后揭露，对方伪造了完整的数字身份档案，包括工作履历、项目经历及社交媒体活动轨迹，形成高度可信的虚拟人格。长达数月的产品协作直至2026年3月，使攻击者深度嵌入团队决策流程，为最终突破防线奠定基础。

多层隐蔽攻击路径暴露系统防御盲区

4月1日异常警报触发后，团队联合第三方取证机构展开追踪，从设备日志中识别出三类隐蔽攻击手段。第一种为伪装成金库前端代码仓库的恶意脚本，可在开发者使用VSCode等工具打开时自动执行任意指令；第二种为诱导安装的“定制钱包插件”，声称支持新功能测试，实则植入持久化后门。

这些程序未触发任何系统级警告或权限请求，运行期间完全隐身于正常操作流程中。攻击完成即刻清除所有通信记录与临时文件，不留痕迹。

经比对，本次行动与编号UNC4736的黑客组织存在高度重合特征，该组织亦被称为AppleJeus或Citrine Sleet，专攻DeFi基础设施漏洞。调查还发现其与2024年10月发生的多起类似事件存在共犯线索，为规避追踪，攻击者刻意通过第三方中介安排线下会面，切断直接联系链路。

目前，漂移协议已发布安全通告，敦促其他项目立即审查外部依赖项，强化身份验证机制，并提升对高级持续性威胁（APT）的防范意识。