椭圆研究公司(Elliptic)周四表示,今年规模最大的 2.85 亿美元 Drift 协议漏洞利用事件,显示出“朝鲜国家资助的 DPRK 黑客组织参与的多个迹象”。
该研究机构特别点明了链上行为、洗钱方法以及网络层面的信号,这些都与此前被认定为与国家有关的攻击相一致。
Drift 协议的代币自黑客事件以来已下跌超过 40%,目前约为 0.06 美元,是索拉纳(Solana)区块链上最大的去中心化永续期货交易所。
“如果得到证实,这一事件将是椭圆研究公司今年追踪到的第十八起 DPRK 行动,迄今已被盗超过 3 亿美元,”报告称。
“这延续了 DPRK 持续开展的大规模加密资产盗窃行动,而美国政府已将其与其武器项目的资金来源联系起来。据信,近年来与 DPRK 相关的行为体已对数十亿美元规模的加密资产盗窃负责,”椭圆研究公司补充道。
几小时前,Arkham 的数据显示,已有超过 2.5 亿美元从 Drift 转移到一个中转钱包,然后再流向其他各种地址。
去年 12 月,一份 Chainalysis 报告披露,DPRK 黑客在 2025 年盗走了创纪录的 20 亿美元加密资产,其中包括 14 亿美元的 Bybit 受损事件,较上一年增加了 51%。美国财政部上个月表示,朝鲜使用被盗资产为其大规模杀伤性武器项目提供资金。
椭圆研究公司的分析并未聚焦于漏洞利用本身,而是强调了一种熟悉的作业模式。该活动看起来“经过预谋且精心分阶段安排”,在主要事件发生前有早期测试交易,并提前部署了钱包。
报告解释称,一旦执行完成,资金会迅速被集中、交换,并在各条链之间进行桥接,最终转换为更具流动性的资产,这体现出一种结构化、可重复的洗钱流程——旨在掩盖资金来源,同时保持控制权。
椭圆研究公司指出,一个核心挑战在于 Solana 的账户模型。由于每种资产都被持有在单独的代币账户中,与单一行为体相关的活动可能会在多个地址之间呈现为碎片化的样貌。若无法将这些碎片关联起来,调查人员可能只会看到“攻击者活动的片段,而非完整全景”。
正是在这里,椭圆研究公司的报告强调了聚类方法:它将代币账户回溯到单一实体,从而无论筛查的是哪一个地址,都能识别到该实体层面的暴露点。在涉及超过十几种资产类型的事件中,这种实体层面的视角变得至关重要。
椭圆研究公司在其报告中还补充称,该案同样凸显了洗钱已在本质上变成跨链行为。资金从 Solana 转移到以太坊(Ethereum)及其他网络,表明需要椭圆研究公司所称的“全方位跨链追踪能力”。
