Drift Protocol (DRIFT) 于 4 月 5 日发布了一份详细的事件更新,揭露了 4 月 1 日发生的 2.85 亿美元的漏洞利用事件是朝鲜国家支持的行动者历时六个月的情报行动的结果。
披露的内容描述了一种远超典型网络钓鱼或招聘诈骗的社会工程手段,涉及面对面的会面、真正的资金投入以及数月的信任建立。
一家精心策划长期骗局的虚假交易公司
据 Drift 称,一个冒充量化交易公司的团体于 2025 年秋季首次在一次大型加密货币会议上接触了参与者。
在接下来的几个月里,这些人出现在多个国家的多个活动中,举行了工作会议,并在Telegram 上持续讨论金库集成问题。
关注我们的X账号,即可第一时间获取最新消息。
2025 年 12 月至 2026 年 1 月期间,该团队在 Drift 上开设了生态系统金库,存入了超过 100 万美元的资金,并参与了详细的产品讨论。
到三月份,《漂移》的撰稿人已经多次与这些人面对面交流过。
“……最危险的黑客看起来不像黑客,”加密货币开发者高瑟姆评论道。
就连网络安全专家也对此感到担忧,研究员 Tay 表示,她最初以为这只是一个典型的招聘骗局,但后来发现该骗局的规模远比这更令人震惊。
设备是如何被入侵的
Drift 识别出三种可能的攻击途径:
- 一位贡献者克隆了该团队共享的用于 Vault 前端的代码库。
- 第二名用户下载了一个TestFlight应用程序,该应用程序被展示为钱包产品。
- 对于存储库向量,Drift 指出了 VSCode 和 Cursor 中一个已知的漏洞,安全研究人员从 2025 年末就开始标记该漏洞。
该漏洞允许任意代码在编辑器中打开文件或文件夹时立即静默执行,无需用户交互。
4月1日资金被盗后,攻击者清除了所有Telegram聊天记录和恶意软件。此后,Drift冻结了剩余的协议功能,并从多重签名中移除了被入侵的钱包。
SEALS 911 团队以中等至高度的信心评估认为,同一批威胁行为者实施了 2024 年 10 月Radiant Capital 的黑客攻击, Mandiant 将此攻击归因于 UNC4736 。
链上资金流动和这两个项目之间的运营重叠都印证了这种联系。
业界呼吁重置安全机制
Solana 的知名开发者 Armani Ferrante 呼吁所有加密货币团队暂停增长工作,并对其整个安全堆栈进行审计。
费兰特表示: “加密货币领域的每个团队都应该借此机会放慢脚步,专注于安全。如果可能的话,最好专门安排一个团队负责安全……如果被黑客攻击,你就无法发展壮大。”
Drift指出,亲自到场的人员并非朝鲜公民。众所周知,朝鲜此类级别的威胁行为者通常会利用第三方中间人进行面对面接触。
Drift 聘请的 Mandiant 公司负责设备取证,但该公司尚未正式确定此次漏洞的来源。
此次披露对整个生态系统起到了警示作用。Drift敦促各团队审核访问控制,将所有接触多重签名的设备视为潜在目标,如果怀疑遭遇类似攻击,请立即联系SEAL 911。
