橢圓(Elliptic)週四表示,今年規模最大的、價值2.85億美元的「Drift Protocol」遭竊事件,顯示出北韓(North Korea)由國家支持的駭客團體「DPRK」參與的「多項跡象」。
研究機構特別指出,鏈上行為、洗錢(laundering)手法以及網路層級的訊號,這些都與先前已被關聯到國家的攻擊一致。
Drift Protocol 的代幣自遭竊以來已下跌超過40%,約為0.06美元,是Solana區塊鏈上最大的去中心化永續期貨交易所。
報告稱:「若得到證實,此事件將是橢圓(Elliptic)今年追蹤到的第十八起DPRK行動,迄今已被竊超過3億美元。」
橢圓補充:「這是DPRK持續進行的大規模加密資產竊取行動的延續,美國政府已將其連結到其武器計畫的資金來源。近年來,被DPRK關聯的行為者被認為對數十億美元的加密資產竊取負責。」
數小時前,Arkham 的數據顯示,已有超過2.5億美元從 Drift 移至一個臨時錢包,然後再轉移到各種其他地址。
在12月,一份 Chainalysis 報告披露,DPRK駭客在2025年竊取了創紀錄20億美元的加密資產,其中包括10.4億美元的 Bybit 遭侵事件,較前一年增幅51%。美國財政部上個月表示,北韓使用遭竊資產來資助該國的大規模毀滅性武器(WMD)計畫。
橢圓的分析並未著重於這次漏洞本身,而是突出了類似的作業模式。該行為看起來「是預謀的,且經過精心分階段安排」,在主要事件之前就有早期測試交易,以及事先配置好的錢包。
報告解釋,一旦執行,資金就會被迅速整合、交換、跨鏈轉移,並轉換成更具流動性的資產,顯示出一種結構化、可重複的洗錢流程,旨在在保持控制的同時掩蓋資金來源。
橢圓指出的一個核心挑戰是Solana的帳戶模型。由於每項資產都由獨立的代幣帳戶持有,與單一行為者相關的活動可能會在多個地址之間呈現碎片化。若不進行連結,調查人員有可能只看到「攻擊者活動的片段,而非完整全貌」。
就在這裡,橢圓的報告強調其叢集(clustering)方法:它可將代幣帳戶連回同一實體,使得不論被審查的是哪個地址,都能識別暴露(exposure)。在涉及超過一打(dozen)種資產類型的事件中,這種以實體為層級的視角就變得至關重要。
橢圓也在報告中補充指出,此案還強調洗錢已本質上變成跨鏈(cross-chain)。資金從Solana轉移到以太坊(Ethereum)以及其他鏈上,凸顯出需要橢圓所描述的「全方位跨鏈追蹤能力(holistic cross-chain tracing capabilities)」。