朝鲜关联黑客涉嫌策划超2.85亿美元DeFi资产窃取行动

基于Solana生态的去中心化交易所Drift Protocol遭遇严重网络安全事故，初步评估损失金额接近2.86亿美元。相关调查指向朝鲜国家支持的黑客组织，若确认属实，此次事件将成为去中心化金融领域单次损失最严重的案例之一。

非代码漏洞致损：攻击者以人力为突破口

本次攻击的核心特征在于其初始入侵路径并非传统技术手段，而是通过长期、隐蔽的社会工程学操作，对Drift Protocol内部人员进行多月定向渗透后才完成资金转移。

所谓“线下锁定”指攻击者绕过数字防护体系，采用实体接触、伪造邮件、已感染个人设备或伪装招聘名义等方式获取信任并植入恶意程序。这种持续数月的潜伏期显示了高度策略性与耐心，甚至能突破企业级技术防御框架。

与依赖智能合约缺陷或预言机操控的典型攻击不同，此类以人为目标的路径可直接获取私钥或管理权限，这类风险远超常规代码审计所能覆盖范围。

攻击模式颠覆常规认知：从代码到人的安全边界转移

尽管2.85亿美元的损失在加密资产领域极为罕见，但其真正特殊之处在于攻击方式的演变——由系统漏洞转向组织成员本身。该事件暴露了协议团队在运营安全上的深层脆弱性，不仅需防范代码层面的风险，更须保障员工在非工作场景下的信息安全。

若确认攻击方与朝鲜背景组织有关，则事件性质升级为跨国安全议题。历史记录表明，此类组织常利用非法获取的加密资产为核武及导弹项目融资，意味着本次失窃可能涉及跨境制裁规避，触发多国执法与金融监管联动。

关键动向待解：链上追踪与官方归因成焦点

后续发展将取决于若干核心节点：执法部门是否发布正式责任认定、被盗资产在链上如何流转、以及Drift Protocol能否重建信任并恢复服务。

对于整个行业而言，若调查证实社会工程学是主因，将迫使DeFi项目重新审视其安全架构，包括加强员工背景审查机制、建立线下威胁应对模型，并推动全行业制定针对人身攻击路径的安全标准。

事件问答：常见疑问深度解析

被窃取资产为何物？来自何处？

据信为存于Drift Protocol平台的约2.85亿美元流动性资金，源自其Solana链上交易池。

“线下锁定员工”具体指什么行为？

指攻击者通过非数字渠道实施的心理操控，如面对面接触、寄送含恶意软件的物理介质，或借招聘之名进行隐蔽渗透，这些行为难以被传统监控系统捕捉。

为何归因于朝鲜具有重大意义？

有证据显示，朝鲜背景黑客团体曾多次将非法所得用于资助军事研发，一旦确认，此事件将不再仅属经济犯罪，而可能构成违反国际制裁的刑事行为。

未来应重点关注哪些信息？

包括执法机构发布的归因声明、被盗资金的链上行踪分析、Drift Protocol的修复与重启计划，以及行业是否将出台针对员工安全的新规范和应急响应指南。