Drift Protocol 刚刚发布了对造成超过2.85 亿镁损失的攻击事件的初步调查结果,揭露了一起由据信与朝鲜政府有关的组织精心策划、历时六个月的黑客行动。
朝鲜黑客组织的指纹。
调查显示,Drift攻击与2024年10月发生的Radiant Capital黑客攻击在链上交易流程和执行方式等方面具有高度相似性。网络安全公司Mandiant此前已将Radiant Capital攻击归咎于UNC4736组织,该组织被认为与朝鲜国家机构有直接联系。
这次攻击的危险之处不仅在于其造成的破坏规模,更在于其精心策划。从2025年秋季开始,一群人冒充量化交易公司的代表,在各种国际加密会议上接近Drift的合作者。
在建立初步联系后,这些人邀请受害者加入一个 Telegram 群组,并在接下来的六个月里就交易策略和金融操作进行了深入讨论。为了建立信誉,该团伙甚至在 Drift 平台上部署了一个价值 100 万镁的真实资金的“生态系统金库”——这是一项旨在增强其合法性的真实投资。
经过多次线下会面和漫长的信任建立过程后,攻击者开始Chia恶意链接和工具。嫌疑人最终通过一个包含恶意软件的代码库和一个在TestFlight上测试的钱包应用程序完成了入侵。攻击完成后,所有聊天历史和相关恶意软件都被清除。
响应和处理步骤
虽然调查仍在进行中,目前的调查结果只是初步的,但 Drift 已经实施了一系列紧急措施:冻结所有剩余的协议功能,从多重签名机制中移除被入侵的钱包,并向交易所和链链桥运营商标标记攻击者的钱包,以防止进一步的提取。
