Drift Protocol 被黑事件追踪到背后利用 Bybit 的团伙 - Coinfea

德里夫特协议（Drift Protocol）近期的此次漏洞利用被指与朝鲜黑客有关，可能是同一组织，曾利用Bybit，涉资或超过14亿美元（$1.4B）。该漏洞利用影响了Solana生态系统中的多个DeFi应用。德里夫特协议（Drift Protocol）的分析显示，该漏洞利用可能由朝鲜的“拉撒路组织”（Lazarus Group）实施——这是同一威胁行为体，背后还存在多起其他攻击。

基于DivergSec的分析，以及Elliptic和TRM Labs的报道，关于该漏洞利用的新信息正在浮现。攻击者并不只是只对德里夫特协议（Drift Protocol）的多重签名（multisig）进行了一次入侵。攻击者将其部分多重签名钱包迁移给新的“安全委员会”（Security Council）成员。在三天内，攻击者攻破了新的多重签名，并在3月31日之前（即攻击发生的前一天）准备好了预先签名的交易。

德里夫特协议（Drift Protocol）事件与朝鲜黑客相关

特定钱包的使用方式指向“拉撒路组织”（Lazarus Group）的作案方式：该钱包首先由Tornado Cash提供资金支持，然后进行快速的跨链桥接到ETH，并在进行混币之前将资金进行整合。根据Elliptic的研究，截至今年，拉撒路（Lazarus）已实施了18起攻击。研究人员将与德里夫特协议（Drift Protocol）团队合作以追踪资金。德里夫特协议（Drift Protocol）宣布，已发现与涉事方有关的关键信息。

此外，团队向目前持有黑客所得收益的四个已识别钱包发送了消息。该消息暗示德里夫特协议（Drift Protocol）可能已知晓黑客身份。社区推测可能存在潜在的内部访问或项目渗透。尽管如此，德里夫特协议（Drift Protocol）仍因在协议层面的变更设置了零时间锁（zero timelock）而受到批评，使得漏洞利用者能够立即抽走流动性。

德里夫特协议（Drift Protocol）仍有2.32亿美元（$232M）的锁定价值（value locked），低于5.5亿美元以上（over $550M）。使用德里夫特（Drift）进行收益的多个协议，要么其资金被盗，要么部分或全部被冻结。SOL在对黑客事件作出短暂下跌回应后，已恢复至80美元以上（above $80）。此次黑客还影响了Reflect Money，使其USD+的耕作/挖收益（farming yield）受到冲击。DeFi Carrot在德里夫特（Drift）中损失了其TVL的50%，CRT代币也同样受到影响。Ranger Finance通过rUSD遭到暴露。PiggybankFi在从存款进入德里夫特协议（Drift Protocol）时损失了10.6万美元（$106K）。

Project0暂停了对德里夫特（Drift）金库（vaults）的贷款。其他项目也受到影响，包括Pyra（损失了全部资金）以及XPlace（主要将德里夫特用于收益）。Elemental DeFi仅通过一个USDC金库受到暴露。部分协议只是将资金扣留，直到安全得到改进为止。截至目前已有11个项目受到影响，且不包括对DeFi整体情绪的连锁影响以及对DeFi借贷的信任流失。

截至目前，2026年已有总计35个DeFi协议遭到利用，呈现加速趋势，并且攻击更有组织性。从DeFi中共提取了约4.53亿美元（$453M）资金，表明它仍是高风险领域。这些黑客攻击动摇了“DeFi可以在低风险下实现收益”的叙事。