橢圓鏈接 286 百萬美元的漂移協議（Protocol）遭受攻擊事件：肇事者疑似北韓駭客

區塊鏈分析公司 Elliptic 於 2026 年 4 月 2 日報告稱，針對基於 Solana 的 Drift Protocol 造成的 2.86 億美元漏洞利用（exploit）案，出現多項跡象顯示與北韓政府資助的 DPRK 駭客集團有關；這也代表 Elliptic 今年追蹤到的第十八起此類攻擊。

4 月 1 日的漏洞利用是截至目前 2026 年規模最大的 DeFi 駭案，使 Drift 的總價值鎖定（TVL）從約 5.5 億美元崩跌至低於 2.5 億美元。其鏈上行為、洗錢（laundering）手法以及網路層級訊號，與先前已被鎖定與國家相關的作業高度相似。

Elliptic 指出預謀的鏈上行為與跨鏈洗錢模式

Elliptic 的分析指向一種看似「經過預謀且精心佈局」的活動：在主要事件之前，出現了早期測試交易以及已先行部署的錢包。攻擊者錢包是在漏洞利用發生前約八天建立，並在該期間從 Drift 的一個金庫（vault）收到了少量測試轉帳，這顯示存在事先規劃。

（來源：Elliptic Investigator）

資金一旦被執行，便迅速被整合、交換、跨鏈橋接（bridged）到其他鏈上，並轉換為更具流動性的資產，呈現出一套用於掩蓋資金來源、同時維持控制的結構化且可重複的洗錢流程。攻擊者清空了三個核心金庫：JLP Delta Neutral、SOL Super Staking 與 BTC Super Staking 金庫。其中最大的一筆單次轉帳涉及約 4,170 萬個 JLP 代幣，當時盜竊價值約為 1.55 億美元。被額外竊取的資產還包括 USDC、SOL、cbBTC、wBTC 以及流動性質押代幣（liquid staking tokens）。

攻擊開始後的一小時內，攻擊者便透過從多個協議金庫提領資產，系統性地抽乾了 Drift 大多數的流動性。根據區塊鏈安全公司 PeckShield 的說法，初步原因似乎是協議管理員（administrator）的私鑰遭到入侵，使攻擊者取得可優先發起提領與變更管理控制權的特權存取。

Solana 帳戶模型使多資產漏洞利用的調查更棘手

Elliptic 指出，Solana 的帳戶模型為調查人員帶來一個核心挑戰。因為每一種資產都被持有在獨立的代幣帳戶（token account）中，與單一行為者相關的活動可能會在多個地址之間呈現碎片化的樣貌。攻擊者在多個金庫中竊取了超過 15 種代幣，這意味著攻擊者的 JLP、USDC、SOL、cbBTC 以及其他被竊取資產，各自都位於不同的鏈上地址。

若分析供應商將這些地址視為彼此無關，他們將只能看到攻擊者活動的零碎片段，而非完整全貌。Elliptic 的聚類（clustering）方法會把代幣帳戶連回同一個實體，從而即使只審查其中某個地址，也能識別曝露（exposure）。此案也凸顯洗錢已具備本質上的跨鏈特性：資金從 Solana 流向 Ethereum，並延伸到其他鏈，這要求具備整體性的跨鏈追蹤能力。

隨著 Elliptic 追蹤 2026 年被盜 3 億美元，與 DPRK 連結的加密竊案升級

若消息獲得證實，這將是 Elliptic 於 2026 年追蹤到的第十八起與 DPRK 連結的行動，迄今已竊取超過 3 億美元。人們普遍認為，與 DPRK 連結的行為者在近年已竊取超過 65 億美元的加密資產。美國政府已將這些竊案連結到北韓大規模殺傷武器（WMD）計畫的資金來源。

在 2025 年 12 月，一份 Chainalysis 報告揭示，DPRK 駭客於 2025 年竊取了創紀錄的 20 億美元加密資產，其中包含 14 億美元的 Bybit 洩漏事件（breach），較前一年增加 51%。美國財政部上個月重申，北韓使用被竊取的資產為其武器計畫提供資金。

Drift 的漏洞利用案也發生在針對加密生態系統、與 DPRK 連結活動進一步升級之際；其中包括近期對 axios npm 套件的供應鏈（supply chain）遭入侵事件，而 Google 指出這起事件出自 DPRK 威脅行為者 UNC1069。

Drift Protocol 已在 X 上確認遭受漏洞利用，表示它正面臨「正在進行的攻擊」，並且已暫停存款（deposits）與提領（withdrawals）。團隊正與多家安全公司、跨鏈橋接（cross-chain bridges）與交易所協調，以遏制此事件。自駭案以來，Drift 代幣已下跌超過 40%，約至 0.06 美元。

FAQ

Drift Protocol 漏洞利用案中竊取了多少？又是誰被懷疑？

約 2.86 億美元於 2026 年 4 月 1 日從 Drift Protocol 被竊取。Elliptic 已辨識出多項跡象，顯示可能涉及北韓政府資助的 DPRK 駭客集團，包括預謀的鏈上行為以及與先前國家關聯作業一致的洗錢模式。

是什麼讓 Drift 漏洞利用 特別難以追查？

攻擊者在多個金庫中竊取了超過 15 種代幣。Solana 的帳戶模型為每種資產類型在單一實體持有下建立獨立的代幣帳戶，這意味著攻擊者各自被竊取的資產分別位於不同的鏈上地址。若不將這些地址進行聚類，調查人員只能看到攻擊的零碎片段，而無法掌握完整全貌。

這起事件如何契合更廣泛的 DPRK 駭客趨勢？

若獲證實，這將是 Elliptic 於 2026 年追蹤到的第十八起與 DPRK 連結的行動，目前已竊取超過 3 億美元。人們普遍認為，近年與 DPRK 連結的行為者已竊取超過 65 億美元的加密資產，而美國政府已將這些竊案連結到為該國大規模殺傷武器計畫提供資金的用途。