Elliptic 週四表示,價值 2.85 億美元的 Drift Protocol 攻擊事件是今年最大規模的攻擊,該事件帶有北韓國家支持的 DPRK 駭客組織參與的「多重指標」。
該研究公司特別指出了鏈上行為、洗錢方法和網路層級信號,這些都與先前與國家有關的攻擊一致。
Drift Protocol 的代幣自駭客攻擊以來已下跌超過 40% 至約 0.06 美元,它是 Solana 區塊鏈上最大的去中心化永續期貨交易所。
「如果確認,這起事件將是 Elliptic 今年追蹤到的第十八起 DPRK 行為,目前被盜金額已超過 3 億美元,」報告指出。
「這是 DPRK 持續進行大規模加密資產竊盜行動的延續,美國政府已將其與武器計劃資金聯繫起來。近年來,與 DPRK 相關的行為者被認為應對數十億美元的加密資產竊盜負責,」Elliptic 補充道。
幾小時前,Arkham 數據顯示,超過 2.5 億美元已從 Drift 轉移到一個中間錢包,然後轉移到其他各種地址。
12 月,Chainalysis 報告揭露 DPRK 駭客在 2025 年竊取了創紀錄的 20 億美元加密貨幣,包括 14 億美元的 Bybit 漏洞,較前一年增加了 51%。美國財政部上個月表示,北韓利用被盜資產為該國的大規模毀滅性武器計劃提供資金。
Elliptic 的分析並非專注於攻擊本身,而是突顯了一個熟悉的操作模式。該活動顯得「經過預謀且精心策劃」,在主要事件之前進行了早期測試交易和預先部署錢包。
報告解釋說,一旦執行,資金會迅速整合和交換,跨鏈橋接,並轉換為流動性更高的資產,反映出一個結構化、可重複的洗錢流程,旨在掩蓋來源的同時保持控制。
Elliptic 指出,一個核心挑戰是 Solana 的帳戶模型。由於每項資產都保存在單獨的代幣帳戶中,與單一行為者相關的活動可能會在多個地址中顯得分散。如果不將這些聯繫起來,調查人員可能只能看到「攻擊者活動的片段,而非完整畫面」。
這就是 Elliptic 報告強調聚類方法的地方,該方法將代幣帳戶連接回單一實體,無論篩選哪個地址都能識別風險。在涉及十多種資產類型的事件中,這種實體層級的視角變得至關重要。
Elliptic 在報告中補充說,該案例還強調了洗錢如何本質上已成為跨鏈行為。資金從 Solana 轉移到 Ethereum 及更遠的地方,證明了 Elliptic 所描述的「整體跨鏈追蹤能力」的必要性。
來源: https://www.coindesk.com/business/2026/04/02/north-koreans-hackers-likely-behind-the-usd286-million-drift-protocol-exploit-elliptic
