Drift Protocol 遭攻击损失 2.86 亿美元，疑为 DPRK 关联攻击

Elliptic 已识别出多个指标，表明 Drift Protocol 遭到的攻击与朝鲜（DPRK）有关。

Drift Protocol 是 Solana 区块链上最大的去中心化永续期货交易所。2026 年 4 月 1 日，该协议发生重大安全事件。根据 Elliptic 的计算，此次攻击中被盗资产的总价值达 2.86 亿美元。该攻击相关的链上行为、洗钱方法和网络层指标，与此前归因于朝鲜的行动技术高度一致。

如果得到证实，这将是 Elliptic 今年追踪到的第 18 起与朝鲜相关的攻击事件，今年累计被盗金额已超过 3 亿美元。这标志着朝鲜持续进行的大规模加密资产盗窃活动的延续，美国政府此前已将此类活动与朝鲜武器计划的资金筹集联系起来。据信，近年来与朝鲜相关的行为者已窃取了超过 65 亿美元的加密资产。

此次事件发生之际，针对加密生态系统的朝鲜相关活动正全面升级，包括近期 Axios npm 软件包的供应链受损事件，谷歌已将其归因于朝鲜威胁行为者 UNC1069。

Drift Protocol 攻击是如何发生的？

在攻击开始的一小时内，攻击者通过从多个协议金库提取资产，系统性地抽干了 Drift 的绝大部分流动性。根据区块链安全公司 PeckShield 的初步调查，攻击原因似乎是协议管理员私钥泄露，这使得攻击者获得了启动提款和更改管理控制权的特权访问。

攻击者瞄准了三个核心金库：JLP Delta Neutral、SOL Super Staking 和 BTC Super Staking 金库。最大的一笔单次转账涉及约 4170 万个 JLP Token，盗取时价值约 1.55 亿美元。其他被盗资产包括 USDC、SOL、cbBTC、wBTC、流动性质押代币等。

据 DefiLlama 数据显示，攻击发生后，Drift 的总锁仓价值 (TVL) 从约 5.5 亿美元骤降至 2.5 亿美元以下。这使其成为 2026 年至今最大的 DeFi 黑客事件，也是 Solana 生态系统中继 2022 年 Wormhole 跨链桥 3.26 亿美元被盗事件后的第二大安全事故。

Drift 团队在 X 平台上确认了此次攻击，表示 Drift Protocol 正在遭受“活跃攻击”，并已暂停存款和提款。团队补充称，正在与多家安全公司、跨链桥和交易所协调以遏制该事件。

追踪被盗资金

链上数据显示，攻击者的钱包在攻击发生前约 8 天创建，并在此期间收到了来自 Drift 金库的一笔小额测试转账，这表明这是一场经过预谋和精心策划的行动。

在抽干金库后，攻击者主要利用 Solana 上的 DEX 聚合器迅速将盗取的 Token 兑换为 USDC。随后，这些资金被跨链桥接到以太坊区块链，并进一步兑换为 ETH。

Elliptic Investigator 利用其跨链追踪能力，可以追踪从 Solana 上的初始攻击到攻击者目前在以太坊上持有资金的全过程。

来源：Elliptic Investigator

Elliptic 的情报团队将继续监控被盗资金的流向，并随着新信息的出现更新相关进展。

Elliptic 如何提供帮助

Elliptic 已采取紧急行动，确保与此次攻击相关的地址可以通过其区块链分析解决方案进行筛查和追踪。客户可以确保不会在无意中处理源自或发送至该盗窃事件责任实体的资金。

Solana 架构下的追踪挑战

由于攻击者从多个金库中提取了超过 15 种类型的 Token，在 Solana 上追踪此类攻击的完整范围需要了解该网络如何组织链上活动。Solana 的架构为单个实体持有的每种资产类型创建单独的 Token 账户，这意味着攻击者的 JLP、USDC、SOL、cbBTC 和其他被盗资产分别存放在不同的链上地址中。如果分析提供商将这些地址视为互不相关，则只能看到攻击者活动的碎片，而非全貌。

针对 Solana 的高级集群技术

Elliptic 的“Solana 高级集群技术”可自动将主账户与所有相关的 Token 账户链接起来，无论筛查哪个地址，都能提供完整的实体可见性。当用户筛查攻击者控制的任何地址时，Elliptic 都会识别所有相关地址并返回该实体的完整风险情报。

对于此类涉及多种资产类型且攻击者正在跨钱包和跨链分散资金的攻击，这种能力至关重要。结合覆盖超过 65 条区块链的行业领先能力，Elliptic 确保从 Solana 到以太坊及更高层级的洗钱技术保持完全可追溯，从而近乎实时地检测到任何相关的虚拟资产服务风险。

• 原文链接： elliptic.co/blog/drift-p...
• 登链社区 AI 助手，为大家转译优秀英文文章，如有翻译不通的地方，还请包涵～