Drift Protocol安全漏洞暴露重大过失风险
若Drift Protocol团队严格遵守标准操作流程,基于Solana的去中心化金融平台所遭遇的2.8亿美元漏洞事件本可避免,律师阿里尔·吉夫纳指出,该事件或构成民事过失。
安全防线形同虚设:关键密钥管理缺失
吉夫纳强调,项目方未能履行保护用户资产的基本义务,具体表现为未将签名密钥存放于独立且物理隔离的系统中,也未对在行业会议结识的开发者进行充分背景审查。
“任何成熟项目都应知晓这些基础防护措施,但Drift却选择忽视。”她表示,“尽管他们清楚加密领域存在朝鲜等国家级黑客组织的威胁,却仍在数月间频繁通过Telegram交流,与陌生人会面,并下载来源不明的代码仓库和应用,严重违反多重签名设备的安全规范。”
集体诉讼悄然推进,团队尚未回应
相关法律行动已开始铺开,针对Drift Protocol的集体诉讼宣传正逐步传播。尽管Cointelegraph已尝试联系其团队,但在发布前未获任何回应。
此次事件再次凸显社会工程攻击在加密生态中的致命性——攻击者借由信任关系渗透系统,不仅可能导致巨额资金损失,更会永久动摇用户对平台的信任根基。
Drift Protocol于周六发布事件复盘报告,披露攻击者早在2025年10月便在一场大型加密会议上接触团队,声称有意合作并集成协议。
在接下来的六个月内,攻击者持续构建信任关系,随后逐步植入恶意链接,并通过伪装手段在开发人员设备上部署恶意软件。
据团队披露,涉事人员虽非朝鲜籍公民,但被高度怀疑隶属于朝鲜关联的黑客组织。
Drift方面表示,有较高可信度认为本次攻击与2024年10月Radiant Capital遭劫案为同一团伙所为。
彼时,Radiant Capital曾证实,其漏洞源于一名冒充前承包商的朝鲜黑客通过Telegram发送的恶意软件。