朝鲜黑客可能是价值 2.86 亿美元的漂移协议漏洞背后的幕后黑手：Elliptic

Elliptic 周四表示，这次价值 2.85 亿美元的 Drift Protocol 漏洞利用是今年规模最大的一次，其中有“多个迹象”表明朝鲜国家支持的朝鲜黑客组织参与其中。

该研究公司特别指出了链上行为、洗钱方法和网络级信号，所有这些都与之前的状态相关攻击一致。

自黑客攻击以来，Drift Protocol 的代币已下跌超过 40% 至约 0.06 美元，是 Solana 区块链上最大的去中心化永续期货交易所。

报告称：“如果得到证实，这起事件将是 Elliptic 今年追踪到的第 18 起朝鲜行为，迄今为止已被盗超过 3 亿美元。”

“这是朝鲜持续大规模加密资产盗窃活动的延续，美国政府将其与为其武器计划提供资金联系起来。据信，与朝鲜有关的行为者对近年来数十亿美元的加密资产盗窃负有责任，”Elliptic 补充道。

几个小时前，Arkham 数据显示，超过 2.5 亿美元已从 Drift 转移到临时钱包，然后转移到其他各个地址。

去年 12 月，Chainaanalysis 的一份报告显示，朝鲜黑客在 2025 年窃取了创纪录的 20 亿美元加密货币，其中包括价值 14 亿美元的 Bybit 数据泄露事件，比上一年增加了 51%。美国财政部上个月表示，朝鲜利用被盗资产资助该国的大规模杀伤性武器计划。

Elliptic 的分析并没有关注漏洞本身，而是强调了一种熟悉的操作模式。该活动似乎是“有预谋和精心策划的”，在主要活动之前进行了早期测试交易和预先放置的钱包。

该报告解释说，一旦执行，资金就会迅速整合和交换，跨链桥接，并转换为更具流动性的资产，反映了一种结构化的、可重复的洗钱流程，旨在掩盖来源，同时保持控制。

Elliptic 指出，一个核心挑战是 Solana 的账户模型。由于每个资产都保存在单独的代币账户中，因此与单个参与者相关的活动可能会分散在多个地址中。如果不将这些联系起来，调查人员就有可能看到“攻击者活动的碎片，而不是完整的情况”。

这就是 Elliptic 的报告强调集群方法的地方，该方法将代币账户连接回单个实体，无论哪个地址被筛选，都可以识别风险。在涉及十多种资产类型的事件中，实体级视图变得至关重要。

Elliptic 在其报告中补充道，该案还强调了洗钱活动如何本质上是跨链的。资金从 Solana 转移到以太坊及其他地方，这表明需要 Elliptic 所描述的“整体跨链追踪功能”。