2026年4月1日并非愚人节玩笑。Drift Protocol随即在X平台发文声明:"This is not an April Fools joke." 仅仅12分钟内,Solana上规模最大的去中心化永续合约交易所损失了2.85亿美元。原因并非代码漏洞,而是一个更难修复的系统性问题。
三周精心准备,十二分钟完成执行
事件始于3月11日,从Tornado Cash提取了10枚 ETH——时间恰好是平壤时间上午9时左右,这一细节颇具深意。这笔资金被用于创建CarbonVote Token(CVT)——一个毫无实际价值的虚假代币。此后数周,攻击者在Raydium上注入少量流动性,通过系统性刷量交易(wash trading)将价格人为维持在约1美元。Drift的预言机将其识别为合规资产。陷阱奏效了。
3月23日,四个durable nonce账户被创建。其中两个属于Drift Security Council的真实成员,另外两个则由攻击者控制。攻击者已预先获取了必要签名——很可能是向多签持有人提交看似普通的交易请求,使签名人无从判断自己真正在批准什么。3月27日,Drift将Security Council迁移至无时间锁(timelock)的2/5签名配置。至此,最后一道发现异常的防线在无人察觉中消失了。
4月1日,一切爆发。31笔提款交易连续执行,约12分钟内,JLP Delta Neutral、SOL Super Staking、BTC Super Staking三大主要金库被清空——USDC、SOL、JLP、WBTC合计超过2.85亿美元。协议TVL从5.5亿美元骤降至不足2.5亿美元。DRIFT代币价格暴跌逾40%。Solana生态内11个协议遭受连带损失。
ZachXBT炮轰Circle:灼热的质问
漏洞被利用后,攻击者迅速将大部分被盗资产兑换为USDC,随后通过Circle的CCTP跨链协议——USDC发行方旗下的桥接工具——在六小时内通过逾百笔交易将约2.32亿美元从Solana转移至以太坊。整个过程发生在美国工作时间内。Circle毫无作为。
ZachXBT在X平台直接点名Circle及其CEO Jeremy Allaire:
Circle was asleep while many millions of USDC was swapped via CCTP from Solana to Ethereum for hours from the 9 figure Drift hack during US hours.
— ZachXBT (@zachxbt) April 2, 2026
Value was moved and nothing was done yet again.
Comes days after you froze 16+ business hot wallets incompetently which is still… pic.twitter.com/T0Xwg1HIfO
核心矛盾在于:3月23日——攻击者在Solana上创建durable nonce账户的同一天——Circle因一起美国民事诉讼,在数分钟内冻结了包括DFINITY基金会ckETH Minter智能合约在内的16个企业钱包的USDC余额。这些是合法钱包、真实商业机构,且毫无预警。ZachXBT当时已将此举定性为"五年来见过的最糟糕冻结操作"。但至少Circle那次采取了行动。
这次截然不同。研究员Specter补充了一个发人深省的细节:攻击者在转移资金前刻意等待了一到三小时,并有意绕开Tether。这说明攻击者早已预判Circle不会介入。对于香港OSL、HashKey等持牌交易所而言,这一事件也再度引发对稳定币发行商AML(反洗钱)响应能力的审视——香港金融管理局(HKMA)正推进稳定币监管框架,此案提供了现实警示。
幕后黑手:再次是Lazarus Group
Elliptic与TRM Labs相隔数小时各自发布分析报告,结论高度一致。所有迹象均指向Lazarus Group——这个朝鲜黑客组织已被认定对2025年Bybit14亿美元被盗事件及2022年Wormhole Bridge 3.26亿美元漏洞事件负责。初期使用Tornado Cash、CVT部署时间戳与平壤时区吻合、洗钱速度之快、多链桥接操作模式——一切都对上了。
根据Elliptic的数据,这是2026年可归因于朝鲜政权的第18次攻击。短短数月内已超过3亿美元被盗。美国政府表示,这些资金流入平壤的导弹与核武器计划。从中国数字人民币(CBDC)加速推进的背景来看,朝鲜持续利用DeFi漏洞融资的模式,与中国推动金融数字化、强化反洗钱监控的战略方向形成鲜明对比,也令CRS(共同申报准则)框架下的跨境资金流动监控议题更加紧迫。
问题不在代码
两次审计——2022年的Trail of Bits和2026年2月的ClawSecure——均认定Drift安全无虞。没有可发现的代码漏洞。问题在于治理架构,一个有耐心的攻击者将其逐一拆解:管理迁移无时间锁、预言机缺乏最低流动性阈值、多签持有人无实质性验证交易内容的流程。
2026年已有35个DeFi协议遭受攻击,累计损失约4.53亿美元。Drift是年内规模最大的事件,但很可能不是最后一起。
