事件深度分析 · 2026.04.01

Drift 劫案:
2.85 億美元
信任崩塌

2026 年 4 月 1 日,北韓國家級駭客組織 UNC4736 歷經 180 天的潛伏,以工業化社交工程、盲簽漏洞與選擇性合規,一舉擊潰 DeFi 最堅固的防線。

2.85 億
USD 遭竊
180 天
潛伏滲透期
6 小時
Circle 沉默
Solana 的時鐘慢了十秒,Drift 的金庫空了

PART 01

信任抵押與工業化社交工程

過去熟知的社交工程停留在釣魚信件或粗糙的身分偽裝。Drift 劫案展示了社交工程高度自動化與工業化的全新面貌。

Phase 1
🎭

身分滲透

化身頂尖量化交易公司代表,實體出席多國區塊鏈高峰會,主動結識核心開發者

Phase 2
💰

信任抵押

在 Drift 部署生態系保險庫,真金白銀存入 100 萬美元,換取無法撼動的信任基礎

Phase 3
💻

後門植入

誘導核心成員下載帶有後門的 VS Code 擴充程式,悄悄掌握裝置控制權

駭客投入

100 萬

美元真實資金

換取信任的成本

投資報酬率
285x

實際獲利

2.85 億

美元竊取資金

最終套現金額

他們在開發者群組中極度活躍,持續提供高品質的程式碼改進建議。駭客利用大型語言模型(LLM)完美模仿歐美開發者的口語習慣與技術黑話,甚至在跨國協作中動用 Deepfake 技術進行零破綻的視訊通話。

2026 年的圖靈測試實實在在地發生在 Drift 開發者的 Telegram 群組中。

這場攻擊早已超越針對單一漏洞的偶然事件,它是一套具備高度可複製性與低邊際成本的標準作業程序(SOP)。UNC4736 完全可以將這套劇本無縫套用到任何其他 DeFi 協議上。
🤖

LLM 輔助滲透

AI 完美複製技術社群的語言習慣,使滲透過程難以辨識

🎥

Deepfake 視訊通話

跨國協作中的視訊認證防線形同虛設,人臉已無法作為信任憑證

📈

犯罪行為資產化

金錢構成成本最低的信用背書,犯罪演化為高精度投資策略

PART 02

盲簽:安全共謀與平庸之惡

掌握了開發者的裝置權限後,駭客面臨 Drift 協議 2-of-5 的多重簽署防線。他們選擇利用 Solana 鏈上的 Durable Nonces 功能完成最後一擊——允許預先簽署一筆永遠不會過期的交易,未來隨時廣播上鏈。

⚠️

Durable Nonces:工程便利性的代價

這項設計為讓冷錢包的離線簽名體驗更加流暢而保留了一扇方便的窗戶。這個「系統特徵(Feature)」最終被駭客完美轉化為毀滅的誘因。

Transaction Data:
0xa9059cbb000000000000000000000000
d8dA6BF26964aF9D7eEd9e03E53415D37aA96045
0000000000000000000000000000000000000000
0000000000000000000000000000000010f447b2

↑ 這就是安全委員會成員按下「確認」時看到的內容

當頂尖開發者使用硬體錢包簽署一份涉及數億美元的智慧合約交易時,螢幕上顯示的依然是一堆人類無法閱讀的十六進位程式碼。安全委員會的成員基於過去半年的深厚信任,在無法解讀底層程式碼的狀況下按下了確認鍵

直到 2026 年,硬體錢包與協議介面依然沒有達成交易意圖解釋標準(Transaction Intent Standards)。在數億美元的資金流動面前,我們對密碼學的敬畏徹底敗給了對十六進位程式碼的慣性妥協。
🔐

2-of-5 多重簽署

設計上看似堅不可摧,但當簽署者無法閱讀交易內容,多重簽署形同虛設

👁️

盲簽(Blind Signing)

Web3 產業至今未解的致命缺陷。信任取代了驗證,成為最終的安全機制

PART 03

選擇性合規與 Circle 的信譽危機

攻擊發生當下,駭客迅速清空資金池。後續的資金轉移與洗錢過程,將穩定幣巨頭 Circle 推上了風口浪尖。這是一份充滿衝突感的關鍵時間軸。

🚨
00:10 — 攻擊開始後 10 分鐘
資金遭完全抽乾
Drift 協議金庫的 2.85 億美元遭到清空,攻擊完成。
📡
01:00 — 攻擊後 1 小時
全球資安機構發出紅頭預警
多個國際資安情報機構對相關錢包地址發出追蹤警報,Circle 收到通知。
🤐
03:00 — 攻擊後 3 小時
贓款抵達跨鏈橋,Circle 保持沉默
2.3 億美元的 USDC 開始透過 CCTP 跨鏈橋轉移至以太坊。Circle 官方 X 帳號同時段正發佈「建構信任金融」相關貼文。
⏱️
6 個小時的沉默,價值 2.3 億美元。Circle 擁有一鍵凍結 $USDC 的技術能力,也具備干預的先例。
🌉
06:00 — 攻擊後 6 小時
2.3 億美元跨鏈洗錢完成
全數透過 Circle 自家 CCTP 基礎設施完成跨鏈轉移,資金散入多個以太坊地址。
⚖️ 民事案件 凍結執行

9 天前:迅速凍結 16 個錢包

面對民事案件,Circle 在數小時內凍結相關 USDC 資產,展現中心化企業的執行威信。

🏳️ 國家級駭客 選擇退縮

此次事件:長達 6 小時的不作為

面對 UNC4736 國家級駭客攻擊,Circle 迅速退回「程式碼中立」護城河,任由贓款流竄。

Circle 的不作為,實質上是用去中心化的外殼來規避中心化的法律責任。這種雙重標準的「選擇性合規(Selective Compliance)」行為,正是 Circle 面臨信譽崩裂的真正根源。

CONCLUSION

Web3 世界裡,人已成為最大的後門

01

工業化社交工程——透過 LLM 與 Deepfake 規模化複製,這套 SOP 可無縫套用至任何 DeFi 協議。信任本身已成為可批量生產的武器。

02

盲簽缺陷從未修復——硬體錢包與協議介面缺乏交易意圖解釋標準,迫使用戶在無法理解內容的情況下做出涉及億元的決策。

03

選擇性合規破壞信任基礎——Circle 的雙重標準揭示了穩定幣發行商在監管灰色地帶的危險套利空間,去中心化正被用於規避責任。

04

下一場威脅——當 AI Agent 接管交易權限後,駭客將直接「賄賂」模型所依賴的數據源,演算法誤導與模型中毒將取代對人類工程師的滲透。當人退出最後的防線,系統恐怕連前門都會消失。

最堅固的堡壘,永遠是從內部被開啟的。
這筆兩億美元的學費,正逼迫我們在下一次毀滅到來之前,
徹底重構信任的底層邏輯。

小烏鴉 Max