Elliptic 周四表示,价值 2.85 亿美元的 Drift Protocol 攻击事件是今年最大规模的,该事件带有"多重迹象"显示朝鲜国家支持的 DPRK 黑客组织参与其中。
该研究公司特别指出了链上行为、洗钱方法和网络层面信号,所有这些都与此前与国家有关的攻击一致。
Drift Protocol 的代币自黑客攻击以来已下跌超过 40% 至约 0.06 美元,是 Solana 区块链上最大的去中心化永续期货交易所。
"如果得到确认,这起事件将是 Elliptic 今年追踪到的第十八起 DPRK 行动,迄今已窃取超过 3 亿美元,"报告称。
"这是 DPRK 持续进行大规模加密资产盗窃活动的延续,美国政府已将其与其武器计划的资金来源联系起来。据信,与 DPRK 有关的行为者在近年来负责了数十亿美元的加密资产盗窃,"Elliptic 补充道。
几小时前,Arkham 数据显示,超过 2.5 亿美元已从 Drift 转移到临时钱包,然后转移到其他各个地址。
12 月,Chainalysis 的一份报告显示,DPRK 黑客在 2025 年窃取了创纪录的 20 亿美元加密货币,包括价值 14 亿美元的 Bybit 漏洞,较上一年增长 51%。美国财政部上月表示,朝鲜利用被盗资产为该国的大规模杀伤性武器计划提供资金。
Elliptic 的分析并非关注攻击本身,而是强调了一种熟悉的操作模式。该活动似乎是"有预谋且精心策划的",在主要事件之前就有早期测试交易和预先布置的钱包。
报告解释说,一旦执行,资金就会被迅速整合和交换,跨链桥接,并转换为流动性更强的资产,反映出一种结构化、可重复的洗钱流程,旨在掩盖来源的同时保持控制。
Elliptic 指出,一个核心挑战是 Solana 的账户模型。由于每个资产都保存在单独的代币账户中,与单个行为者相关的活动可能在多个地址中显得支离破碎。如果不将这些联系起来,调查人员可能只能看到"攻击者活动的片段,而非完整画面"。
这就是 Elliptic 报告强调聚类方法的地方,该方法将代币账户连接回单一实体,无论筛查哪个地址都能识别风险暴露。在涉及十多种资产类型的事件中,这种实体层面的视图变得至关重要。
Elliptic 在报告中还强调,该案例说明了洗钱如何本质上变成跨链的。资金从 Solana 转移到 Ethereum 及其他区块链,展示了 Elliptic 所描述的"全面跨链追踪能力"的必要性。
来源: https://www.coindesk.com/business/2026/04/02/north-koreans-hackers-likely-behind-the-usd286-million-drift-protocol-exploit-elliptic
