Drift团队4月1日暂停存取,宣布遭受攻击,到4月5日确认同一威胁方来自2024年10月Radiant Capital黑客事件。TRM Labs估计损失达2.85亿美元,这次攻击者用100万美元自有资金,亲自会面Drift团队成员,通过社会工程学渗透多签签名者,并利用零时锁治理委员会迁移,在12分钟内完成资金抽干。链上数据显示,攻击前数月已埋下伏笔,攻击者积累信任后执行特权操作。Elliptic分析洗钱模式与朝鲜DPRK以往行动匹配,管理员密钥被入侵导致特权提现。Solana生态SOL现报$83.51(涨5.73%),事件曝光后市场波动加剧,用户对协议信任瞬间崩盘。Stabble作为Solana流动性协议,7日要求流动性提供者撤资,新收购团队查出前CTO与ZachXBT公开指认的朝鲜IT工人同人,承诺审计后再重启。这类事件让用户资金事件无需链上动作就触发,协议暂停成常态。
美国财政部3月12日制裁报告显示,朝鲜IT工人欺诈方案2024年产生近8亿美元收入,用假文件和偷窃身份渗透企业。司法部称朝鲜特工用假身份进入超100家美国公司,一例亚特兰大区块链研发案偷走超90万美元虚拟货币。Flare和IBM X-Force 3月18日报告拆解操作链条,从招募假身份到嵌入团队,用VPN代理掩盖痕迹,在设备日志留线索却常被忽略。招聘时HR忽略传记不一致,入职时文档异常被协作者帮过关,团队小忽略远程模式异常。Drift攻击暴露治理零时锁设计缺陷,TRM点明这让攻击者绕过延迟直接改权限。Stabble案中,外部ZachXBT研究先于内部控制曝光风险,协议团队被动应对。Reuters 3月31日报道,朝鲜相关UNC1069入侵Axios npm包供应链,或影响数百万环境,虽与Drift相关UNC4736不同,但都从信任关系入手。
加密团队安全文化偏重代码审计、赏金和验证,忽略招聘、权限和离职控制。Drift时间线从3月11日到4月1日,攻击者预签授权再抽干,暗示其他DeFi协议或已藏卧底签名者或承包商。市场定价转向,证明治理卫生的协议获信任溢价,小协议易遭TVL碎片。修复路径清晰,加时锁治理迁移,缩小签名权限,分段访问,招聘像审计般严查身份,监控设备日志,离职即撤销密钥。Drift若成转折如2016 DAO黑客,行业可在合理时间内补齐防御。习惯难改是硬伤,中型团队HR安全脱节,需视人为核心安全层。下一波损失或从招聘决定或信任包开始,提前关口协议才能留住用户。