加密律師：Drift 事件可能構成民事過失

Drift Protocol是一個基於Solana的去中心化金融平台,在一次2.8億美元的攻擊事件暴露其安全態勢持續存在漏洞後,正面臨新一輪審查。事件後審查和法律顧問的評論將此次漏洞定性為本可透過基本營運安全措施預防的事件,引發了關於民事過失以及DeFi專案面臨的更廣泛風險環境的討論。

律師Ariel Givner將這種情況描述為未能保護用戶資金的失職,她表示:「簡單來說,民事過失意味著他們未能履行保護其管理資金的基本職責。」她的評估是在Drift發布事後報告詳細說明攻擊如何展開以及平台如何回應之後作出的。這些評論的發布正值批評者質疑Drift程序的充分性之際,在這個領域中,攻擊者經常依賴社交工程和供應鏈入侵來突破多重簽名設置和其他關鍵控制措施。

這場辯論凸顯了一個更大的擔憂:社交工程和專案滲透仍然是加密貨幣領域最有效的攻擊途徑之一,能夠耗盡用戶資金並侵蝕用戶對平台的信任,而這些平台本是用戶依賴的高風險流動性和收益機會來源。

關鍵要點

• Drift Protocol在發生2.8億美元攻擊事件後,因基本安全措施面臨審查,法律觀點根據所謂的營運缺陷將此事件標記為民事過失。
• 專家指出的失誤包括在非氣隙系統上儲存簽名金鑰,以及對供應商和開發人員盡職調查不足,特別是對在會議上遇到的人員。
• 據報導,攻擊者的方法涉及數月的規劃,最終透過開發人員機器引入針對性社交工程和惡意軟體。
• 有跡象顯示可能與北韓相關的威脅行為者有關,Drift表示「中高度信心」認為涉及Radiant Capital駭客攻擊(2024年10月)背後的同一團體參與其中。
• Radiant Capital的2024年事件已成為敘事的一部分,將全行業風險與國家支持網路行動中眾所周知的升級模式聯繫起來。

攻擊敘述與防禦教訓

Drift Protocol發布了一份更新,詳細說明了漏洞如何展開,聲稱這次攻擊是六個月規劃的產物。據報導,攻擊者於2025年10月在一次主要加密貨幣行業會議上接觸Drift,表達對潛在整合和合作夥伴關係的興趣。在接下來的幾個月裡,這些惡意行為者與Drift開發人員建立了關係,最終傳送惡意連結並嵌入惡意軟體,入侵了用於管理協議多重簽名控制的開發人員機器。

Drift的說明強調,涉案人員並非北韓公民,儘管該公司承認威脅行為者與國家支持網路活動相關的更廣泛模式有關。在一次「中高度信心」的同期評估中,Drift將此事件與被認為曾策劃2024年10月Radiant Capital駭客攻擊的行為者聯繫起來。Radiant Capital曾披露其漏洞涉及透過Telegram傳播的惡意軟體,來自一名偽裝成與北韓有關的前承包商的營運者。儘管Drift的更新並未確認直接責任線,但這些關聯凸顯了一個持續存在的威脅環境,在這個環境中,複雜的對手利用社交管道來入侵工程工作流程。

法律和安全觀察人士強調一個反覆出現的主題:即使是成熟的加密貨幣團隊,如果治理實踐未能強制開發活動與敏感憑證之間的嚴格分離,也可能低估供應鏈和社交工程攻擊的風險。Givner的批評超越了Drift事件的具體細節,指出一個普遍期望,即「氣隙」簽名金鑰應與日常開發工作分開保管,與第三方開發人員或承包商合作需要嚴格審查和持續盡職調查。用她的話說,許多專案已經遵守這些原則,因為加密貨幣環境「充滿駭客」,一次疏忽可能在財務和聲譽上都付出高昂代價。

行業背景:更廣泛安全範式的迴響

Drift事件的發生正值關於DeFi專案如何在對抗活動加劇時期管理風險的更廣泛討論展開之際。針對開發人員生態系統的社交工程、網路釣魚和惡意軟體活動已多次涉及高調駭客攻擊。2024年末的Radiant Capital案例涉及一名與北韓有關的營運者偽裝成前承包商散播惡意軟體,在安全分析中經常被引用為關於當人為因素成為最薄弱環節時傳統防禦措施局限性的警示故事。

行業觀察人士指出,Drift事件強化了圍繞金鑰管理建立強大治理框架、正式供應商評估流程,以及對簽名金鑰如何以及在何處儲存和使用的嚴格控制的需求。如果攻擊者利用與開發人員的信任關係並依賴受損設備來獲取多重簽名控制的訪問權限,補救的途徑可能涉及加強氣隙、實施用於金鑰管理的硬體安全模組,以及制度化持續監控和金鑰輪換實踐。對「盡職調查」的強調也引發了關於如何審查會議、駭客松和第三方合作的問題,以及向更嚴格的第三方風險管理的轉變是否會成為整個行業的標準做法。

這對投資者和建設者意味著什麼

對投資者來說,Drift事件提醒人們,風險管理仍然是DeFi平台可信度和資本配置的主要驅動力。能夠展示彈性引導、強大金鑰管理和嚴格供應商審查的專案,可能在一個安全衝擊能迅速改變價值和可靠性認知的市場中脫穎而出。反過來,建設者面臨開放性和安全性之間的微妙權衡。儘管協作和快速整合是DeFi創新的標誌,但Drift事件表明,即使資源充足的團隊也必須將安全演習、紅隊演練和明確的職責分離正常化,以防止供應鏈漏洞轉化為用戶損失。

隨著監管機構和行業團體就標準化最佳實踐展開辯論,Drift的經驗可能會加速關於鏈上協議強制性安全基準的討論,特別是那些依賴多方計算和多重簽名框架的協議。與此同時,用戶應監控Drift和類似平台如何回應——透過安全升級、合作夥伴審查和透明的事件後報告——作為該行業願意將安全修辭轉化為可衡量保障措施的實際晴雨表。

與此同時,Drift尚未公開詳細說明其更新中描述的即時補救措施之外的下一步行動。該平台將在多大程度上全面改革其治理、供應商風險管理和事件回應節奏仍有待觀察,行業更廣泛採用更嚴格安全控制的情況也是如此,這可能會改變DeFi協議與外部合作夥伴合作的速度和流暢性。

仍不確定的是市場對這些披露的反應速度,以及基於漏洞披露建立的信任訊號是否會轉化為用戶對公開解決安全漏洞的平台的長期承諾。目前,這一事件凸顯了一個反覆出現的教訓:在DeFi中,韌性與毀滅之間的差異往往取決於團隊實施和執行基本安全實踐的紀律——在漏洞發生之前,而非之後。

隨著調查和補救繼續進行,市場觀察人士將密切關注Drift的通訊、行業安全標準的演變,以及競爭對手為提高保護開發人員環境和簽名金鑰管理標準而採取的任何後續行動。該行業的前進道路將取決於這一事件是否能催化整個生態系統有意義地採用更強的控制措施和更嚴格的第三方風險治理。

本文最初以《加密貨幣律師:Drift事件可能構成民事過失》為題發表於Crypto Breaking News——您值得信賴的加密貨幣新聞、Bitcoin新聞和區塊鏈更新來源。