Drift Protocol遭遇长期隐蔽渗透，2.85亿美元资产被转移

一项最新安全调查显示，运行于Solana链上的去中心化衍生品交易平台Drift Protocol在2026年4月遭受系统性攻击，攻击方为疑似与朝鲜有关的黑客团体。此次入侵历时逾半年，最终实现对协议金库的远程操控，并成功盗取价值2.85亿美元的数字资产。

隐蔽渗透路径：从社交接触演变为深度系统嵌入

事件起源于2025年秋季的一场加密行业峰会。攻击者以量化交易机构代表身份接近项目核心成员，借由持续的线上沟通与跨国线下会晤，逐步建立技术协作信任关系。在随后六个月内，其参与了生态金库的部署流程，并注入超百万美元初始资金，进一步获得系统权限与操作信任。

随着合作关系深化，攻击者开始介入关键开发环节。至2025年12月，已能访问核心代码仓库并参与部署决策。2026年4月1日，所有联络渠道突然中断，其使用的Telegram账户被注销，随即启动大规模资金转移行动，短时间内完成巨额资产外逃。

该平台作为面向Solana生态用户的开源衍生品基础设施，自上线以来凭借低交易成本与创新金融工具设计吸引大量用户，其社区活跃度与技术透明性曾获业内广泛认可。

多维漏洞叠加：代码缺陷与社会工程双重突破

技术溯源显示，攻击者利用多个可被利用的系统薄弱点。其中一条路径源自用于金库前端部署的代码仓库，其使用的开发工具存在未修复的安全漏洞，可在无提示情况下执行任意指令，该风险早在2025年底已被安全社区通报。

另一入口则依赖社会工程手段——项目成员被诱导安装伪装成钱包应用的测试程序，该软件可能植入后门，为攻击者提供持久访问权限。当前对受损硬件设备的取证分析仍在进行中，初步结果或揭示更多隐蔽通道。

根据权威安全机构的追踪数据，有较高可信度将此次攻击与编号为UNC4736的黑客组织关联。该组织曾在2024年10月发起针对Radiant Capital的攻击，其资金流向模式与朝鲜支持的网络活动高度吻合。值得注意的是，实际参与现场互动的个体并非朝鲜籍公民，极可能是受雇于该组织的第三方代理。

调查组预计将在后续阶段发布更详尽的技术报告与威胁情报更新。

应急响应与行业安全倡议同步推进

事件爆发后，Drift Protocol立即暂停全部功能，从多重签名体系中移除受损金库地址，并向主流交易所及跨链桥运营方通报攻击者资金账户，防止资产二次流转。

项目方已组建专项安全团队，联合外部专家开展深度复盘，同时启动全链范围的风险排查机制，防范潜在连锁反应。

多位独立安全研究员在披露后呼吁所有DeFi项目立即暂停新功能上线，全面开展权限审计、依赖库扫描与托管策略审查。他们强调，任何项目都不应因市场压力而牺牲基本安全原则，必须建立强制性的三权分立与变更审批流程。

在此次事件中表现突出的威胁追踪人员已获项目方公开致谢。同时，平台鼓励其他受影响团队通过专业协作渠道共享情报，共同构建更具韧性的去中心化生态防御体系。