Drift官方在X平台发帖披露,4月1日一名恶意行为者通过durable nonce机制入侵安全理事会权限,导致资金快速流失。攻击者预先准备多周,利用durable nonce账户预签名交易,诱导多签参与者批准虚假交易。Drift强调,这不是智能合约漏洞,也无种子短语泄露证据,而是社会工程骗取批准。攻击者迅速转移管理员权限,引入假资产CarbonVote Token,并移除提现限额。PIF Research Labs分析显示,资金在10秒内被抽干:从首次提现4172万JLP(16:06:09)到最后2200个wETH(16:06:19),主要金库瞬间清空。Drift正联合安全公司、交易所和执法机构追查,冻结赃款。
链上情报公司Elliptic和TRM Labs报告指出,攻击痕迹与朝鲜DPRK黑客高度吻合,包括Tornado Cash混币、跨链桥接模式和洗钱速度,类似2025年Bybit巨盗。TRM Labs称,攻击者用几千美元造假CarbonVote Token,通过洗单伪造流动性,Drift预言机误认其价值数亿美元。该代币部署时间为平壤时间9:30。Elliptic统计,今年DPRK已发动18起盗窃,总额超3亿美元,近年累计超65亿美元,2025年创纪录20亿美元,其中Bybit单笔14.6亿美元。社会工程是DPRK首选路径,通过假身份钓鱼Web3从业者,2026年双campaign已获3750万美元。
Solana生态近期波动中,此事加剧市场警惕。SOL现报$80.22(24h涨1.24%),BTC报$66,875(24h涨0.17%)。Drift准备从3月23日就开始,暴露多签机制隐患。朝鲜黑客不止盯交易所,还瞄准开发者供应链,如近期Axios npm包污染,也归咎UNC1069集团。Drift正调查理事会迁移零时锁漏洞,这本是最后防线,却被绕过。整个事件凸显DeFi社工风险,资金安全靠人防大于合约。