国家级黑客如何攻陷 DeFi？Drift 被黑事件深度调查

加密安全事件的攻击重心正在从代码层向人类信任层急剧转移。

2026 年 4 月 1 日，Solana 生态头部去中心化衍生品协议 Drift Protocol 遭遇攻击，损失约 2.85 亿美元。平台总锁仓量（TVL）从事发前的约 5.5 亿美元骤降至约 2.3 亿美元。Drift 随后发布的初步调查确认，此次行动由与朝鲜政府关联的黑客组织 UNC4736 策划，是一场“历时 6 个月的结构化情报行动”。

这一结论所揭示的变化远不止于一起安全事件：当国家级黑客将攻击重心从代码漏洞发现转向长达数月的人际信任渗透时，整个 DeFi 行业的安全范式正在被系统性地重写。攻击不再需要复杂的智能合约漏洞或私钥窃取——它只需要一段耐心的关系、一个精心伪装的身份，以及足够多的时间。

攻击的运作机制是什么？

UNC4736 的行动方案展现出远超普通黑客团伙的组织纪律性与资源投入。从 2025 年秋季开始，伪装成量化交易公司的人员在多个国际加密会议上主动接触 Drift 贡献者。这些人员技术流利，拥有可核实的专业背景，并且熟悉 Drift 的运作方式。值得注意的是，当面接触的人员并非朝鲜籍，而是被认定为朝鲜威胁行为体部署的第三方中介。

信任建立后，该团伙于 2025 年 12 月至 2026 年 1 月期间在 Drift 生态中入驻了一个生态系统金库，并实际存入超过 100 万美元的自身资金以建立可信度。在此过程中，他们与多个贡献者进行了详细且专业的产品问题讨论。

技术入侵则通过两条路径实现：一名贡献者在克隆恶意代码仓库时被攻陷，该仓库利用了 VSCode 和 Cursor 编辑器中被安全社区持续预警的漏洞——仅需在编辑器中打开文件、文件夹或仓库，即可静默执行任意代码，无需任何用户提示或点击；另一名贡献者则被诱导通过 Apple 的 TestFlight 平台下载了一个假冒的钱包应用程序。在获得内部权限后，攻击者利用 Solana 原生功能 Durable Nonce 预先签署交易，在多签审批通过后瞬间执行清空操作。

这种攻击范式带来了怎样的代价？

Drift 事件所暴露的代价是多维度的，远不止 2.85 亿美元的账面损失。

最直接的代价体现在资金损失与市场冲击上。此次攻击是 2026 年迄今规模最大的 DeFi 安全事件，也是 Solana 生态历史上第二大安全事件。事件发生后，DRIFT 代币价格一度从历史高点暴跌超过 90%。

更值得警惕的是攻击的传导效应。受 Drift 漏洞事件影响的协议已从最初 11 个扩大至超过 20 个，新增包括 PiggyBank、Perena、Vectis、Prime Numbers Fi 等协议，部分协议已暂停铸造、赎回或存取款功能。去中心化借贷协议 Project 0 暂停运营后启动去杠杆化流程，贷款人资产平均减记 2.61%。

而最深层、也最难量化的代价，是 DeFi 行业安全信任根基的动摇。Drift 事后强调，所有多签成员均使用冷钱包，但仍无法阻止攻击，这表明当攻击锁定人为层面时，即便严格的硬件管控也可能被绕过。如果攻击者以真实组织的姿态行动半年、投入资金、参与生态，现有安全系统几乎不可能检测到他们。

对 DeFi 行业格局意味着什么？

Drift 事件正在迫使整个行业重新审视一个根本性问题：去中心化金融的安全假设是否仍然成立。

一个重要的行业反思聚焦于第三方中介信任体系的结构性漏洞。UNC4736 的攻击路径揭示，当前的 DeFi 生态缺乏对新合作方进行系统性安全审查与持续监控的机制。那些在行业内被视为正常商业活动的行为——会议接触、即时通讯沟通、生态金库入驻——恰恰构成了国家级黑客渗透的最佳掩护。

另一个不可忽视的争议来自资金追回环节的合规裂痕。链上调查员指出，攻击者通过跨链转账协议将约 2.32 亿美元的 USDC 从 Solana 桥接至以太坊，而稳定币发行商拥有约 6 小时的窗口期可以冻结这部分资金，却未采取行动。这一争议触及了一个更深层的制度性问题：当 DeFi 协议本身的安全防御失效后，依赖中心化稳定币发行商的合规响应来补位，这种混合模式是否可持续？而合规实体在面临大规模资金流动时的行动边界又在哪里？

未来可能如何演进？

从当前的调查进展与行业反应来看，未来几个趋势已经显现。

安全预算将被系统性重估。2025 年全球加密安全损失已超过 34 亿美元，Web3 领域在 2025 年记录 89 起确认安全事件，总损失达 25.4 亿美元。在国家级攻击日益常态化的背景下，单纯依赖代码审计和安全测试的防御策略已显不足。预计更多协议将在运营安全培训、社会工程防御演练和背景审查流程上投入额外资源。

跨协议风险传导将成为新的安全关注维度。Drift 事件波及超过 20 个协议的连锁效应表明，DeFi 的可组合性在安全维度上是一把双刃剑。未来可能出现两类应对方案：一是协议层面的依赖隔离与安全分级，二是行业层面建立统一的事件响应与信息共享机制。

监管与合规的边界将进一步博弈。稳定币发行商在类似事件中的行动标准将成为监管讨论的焦点议题，可能催生出针对跨境加密资产流动的紧急响应框架。

有哪些潜在风险仍在预警区间？

尽管 Drift 已冻结所有协议功能并将受损钱包移出多重签名，但仍有多个风险维度值得持续关注。

资金追回的不可逆性。攻击者在实施盗窃后迅速清除了即时通讯记录和恶意软件，且链上资金已通过跨链桥转移至以太坊网络。朝鲜黑客组织历来具备成熟的洗钱网络和跨链混币能力，大部分被盗资金可能已进入难以追回的渠道。

行业安全能力的不对称竞争。国家级黑客组织拥有组织性资源、持续资金支持和专业化分工，而绝大多数 DeFi 协议以小型团队形式运作，安全资源配置有限。这种不对称性正在被攻击者系统性利用。这些攻击者使用的身份已构建了完整的职业履历、公开身份凭证和专业社交网络，能够经受商业合作中的正常审查。

信任疲劳对行业创新的抑制。如果每一次新合作方的引入都需要经过严苛的安全审查和持续监控，DeFi 的核心优势——开放性与可组合性——将面临被侵蚀的风险。如何在安全防御与运营效率之间找到平衡，将是行业必须回答的难题。

总结

Drift 被黑事件揭示了一个被长期忽视的现实：DeFi 行业的安全威胁已经完成了代际跃迁。从智能合约漏洞到私钥窃取，再到如今长达 6 个月的国家级社交工程渗透，攻击者的战术演进速度远超防御体系的迭代速度。当攻击者不再需要攻破代码，而只需要攻破一个人的信任时，多签、冷钱包、硬件隔离等传统安全工具的有效性被重新审视。

行业需要的不仅是更完善的代码审计和更严格的访问控制，更需要一种全新的安全思维：将“人为信任”视为与“智能合约代码”同等重要的攻击面。从背景审查到操作安全文化，从生态合作伙伴的持续监控到应急响应机制的跨协议协同，每一个环节都需要被重新定义。在国家级力量入局的加密安全新常态下，没有协议能够独善其身——整个行业的安全防御链条，只能达到其最薄弱一环的强度。

FAQ

问：UNC4736 是否与 Lazarus 是同一个组织？

UNC4736 是安全公司用于追踪与朝鲜政府关联威胁行为体的代号，与更广为人知的 Lazarus Group 存在交叉但并非完全等同。UNC4736 被认为在加密货币领域执行更为持续的基线收入获取任务，专注于小型至中型目标的持续性渗透。

问：Drift 使用多签为何仍未能阻止攻击？

攻击者并未直接窃取多签私钥，而是通过社交工程获得多签审批权限后，利用 Solana 的 Durable Nonce 功能预先签署交易，在获得足够权限后瞬间执行。这说明多签机制的安全前提是签名者未被社会工程手段操控。

问：此次攻击是否涉及智能合约漏洞？

不涉及。Drift 官方确认此次攻击的核心是社会工程学渗透与 Durable Nonce 功能的滥用，而非传统的智能合约代码漏洞。

问：事件发生后 Drift 采取了哪些措施？

Drift 已冻结所有协议功能，将受损钱包移出多重签名，并邀请安全公司参与深度取证调查。协议团队表示正在与执法机构合作，尝试追踪被盗资金。