Ai总结： 基于Solana的去中心化衍生品交易所漂移协议因发现长期渗透而宣布暂停运营。调查揭示其与朝鲜背景黑客组织有关，攻击者通过高度伪装的社会工程手段潜伏数月，最终实施隐蔽技术入侵。

漂移协议因深度渗透事件全面停摆

依托Solana区块链构建的去中心化衍生品交易平台漂移协议于2026年4月1日宣布终止所有运营活动，起因为一项持续数月、结构复杂的网络攻击被成功识别。数字安全专家溯源确认，该事件系由具有朝鲜关联背景的黑客团体所为，被业内视为DeFi领域最系统化的渗透案例之一。自2021年创立以来，该平台以提供高杠杆交易工具和创新流动性机制著称，是Solana生态中关键的金融基础设施节点。

伪装成专业机构的长期社交渗透

此次入侵行动最早可追溯至2025年秋季，攻击者在一次国际加密行业峰会中首次接触漂移协议的核心开发成员。他们以量化交易公司代表身份出现，提出将机构资金托管系统与漂移协议进行集成的技术合作提案。

此后六个月内，攻击者频繁参与多国行业会议，与开发者建立面对面联系，始终维持着高度可信的专业形象。初期双方通过专属电报频道持续交流功能设计与接口规范，随后转入定期视频会议，深入讨论交易引擎架构与风险控制模型。

2025年12月，攻击者成功植入一套名为“生态金库”的系统模块，并注入超百万美元资产，借此获得团队深度信任。2026年初，他们持续输出所谓“优化建议”与开发支持，逐步掌控关键权限。

内部审计显示，攻击者伪造了完整的履历资料，包括工作经历、技术认证及社交媒体行为轨迹，形成闭环可信身份。产品协作对话持续至2026年3月，使攻击者完全融入核心团队日常沟通体系，为后续攻击创造条件。

多重隐蔽攻击路径暴露深层漏洞

4月1日异常警报触发后，协议方联合第三方安全机构启动溯源分析。通过对终端设备日志的深度挖掘，识别出三种隐蔽攻击通道：其一是嵌入金库前端代码库的恶意脚本，在用户使用VSCode等开发环境打开文件时自动执行任意指令；其二是诱导开发者安装标榜“定制钱包插件”的测试应用，实则植入后门。

这些恶意程序未触发任何系统告警或权限提示，运行后完全隐身于正常流程之中。攻击完成即清除所有通信记录与临时文件，不留痕迹。

技术团队确认，本次攻击与编号为UNC4736的黑客组织存在高度匹配性，该组织亦被列为AppleJeus或Citrine Sleet，专攻去中心化金融系统的定向渗透。此次事件与2024年10月发生的同类攻击共享部分战术特征，且攻击者刻意通过中间人进行线下接洽，以规避追踪。

漂移协议已发布安全通告，呼吁其他项目立即审查访问权限管理机制，强化第三方依赖组件的安全审计，并提升对高级社会工程攻击的防御意识。