Drift Protocol 遭竊 2.85 億美元：北韓駭客準備 6 個月，利用 Durable Nonce 繞過多簽

Solana 鏈上知名衍生品協議 Drift Protocol 4 月 1 日遭到駭客攻擊，損失約 2.85 億美元，平台鎖倉量（TVL）從事發前的約 5.5 億美元，在事發後驟降至約 2.3 億美元。Drift 團隊隨後發布詳細調查報告，揭露這是一場歷時 6 個月、具備國家級資源支撐的社會工程學攻擊。

6 個月的潛伏：從加密貨幣大會到程式碼倉庫

根據 Drift 的調查，攻擊者早在 2025 年秋季便開始部署。他們以合法量化交易公司的身分，在多個加密貨幣大會上接觸 Drift 的貢獻者，建立了看似真實的職業關係。在長達 6 個月的滲透期間，攻擊者：

建立 Telegram 群組，與 Drift 團隊討論交易策略

以真實資金（超過 100 萬美元）在生態系統 Vault 中建立可信度

在多個國家進行多次工作會議

最終入侵可能透過兩個管道完成：一名貢獻者複製了一個可能利用 VSCode/Cursor 已知漏洞的程式碼倉庫；另一名貢獻者下載了攻擊者以「錢包產品」為名提供的 TestFlight App。

技術手法：Durable Nonce 預簽交易繞過多簽

技術層面，攻擊者使用了 Solana 上的「Durable Nonce」帳戶機制——這是一種允許預先簽署交易、延後執行的功能。攻擊者利用它來預先準備好所有惡意交易的簽名，在取得足夠權限後瞬間執行，留給防禦方極少的反應時間。

攻擊者迅速取得了 Drift 安全委員會的管理權，隨後清空相關資產。Drift 事後強調，所有多簽成員均使用冷錢包，但仍無法阻止攻擊，顯示「當攻擊鎖定人為層面時，即便嚴格的硬體控管也可能被繞過」。

指向北韓 UNC4736：與 Radiant Capital 攻擊同一組人

Drift 表示，以「中高度信心」將此次攻擊歸因於 UNC4736（又名 Citrine Sleet、AppleJeus），一個與北韓政府有關聯的駭客組織。調查指出，事件模式與 2024 年 10 月導致 Radiant Capital 損失 5,800 萬美元的攻擊高度吻合，認為出自同一批行為者。

Circle 遭批評：為何未能即時凍結被盜 USDC？

攻擊後，另一個爭議焦點是 Circle 的反應速度。根據 PeckShield 數據，攻擊者從 Drift 竊走約 7,100 萬美元 USDC，並在將其他被盜資產轉換為 USDC 後，透過 Circle 的跨鏈轉帳協議（CCTP）將約 2.32 億美元的 USDC 從 Solana 橋接至以太坊，使追討難度大幅上升。

知名鏈上調查員 ZachXBT 批評 Circle 行動太慢，並指出一個諷刺的對比：就在攻擊者設置 Durable Nonce 帳戶的同一天（3 月 23 日），Circle 卻在幾分鐘內就凍結了 16 個商業熱錢包，起因是一起美國民事訴訟——但面對規模遠超 9 位數的 DeFi 攻擊，卻沒有同等迅速的行動。

Circle 的回應是：「Circle 是一家受監管的公司，依照制裁規定、執法命令及法院命令合規運作。我們在法律要求的情況下凍結資產，以符合法治原則並保護用戶權利與隱私。」Plume 的法律顧問則呼籲立法機構建立「安全港」機制，讓穩定幣發行人在有合理根據相信資金涉嫌違法時，可以凍結資產而免於民事責任。

對 DeFi 產業的警示

Drift 的公告在業界引發廣泛關注。這起攻擊清楚說明，國家級駭客組織正在對 DeFi 協議發動長達數月的人力情報（HUMINT）行動，而非僅靠技術漏洞。關鍵教訓包括：不要在接觸生產金鑰或多簽的機器上複製外部倉庫、安裝第三方應用或開啟不明連結；裝置與存取權限的隔離必須徹底落實。

這篇文章 Drift Protocol 遭竊 2.85 億美元：北韓駭客準備 6 個月，利用 Durable Nonce 繞過多簽 最早出現於 鏈新聞 ABMedia。