据该团队周日早些时候发布的一份详细事件更新报告显示,在价值 2.7 亿美元的 Drift Protocol 漏洞利用事件发生之前,进行了为期六个月的情报行动,该行动由一个与朝鲜有关联的组织执行。
攻击者最早于 2025 年秋季在一次大型加密货币会议上与 Drift 接触,他们自称是一家量化交易公司,希望与 Drift 整合。
Drift表示,他们技术娴熟,拥有可核实的专业背景,并且了解协议的运作方式。随后建立了一个Telegram群组,并在接下来的几个月里围绕交易策略和金库集成等问题进行了实质性的讨论,这些互动是交易公司接入DeFi协议的常规流程。
2025 年 12 月至 2026 年 1 月期间,该团队在 Drift 上启用了生态系统金库,与贡献者举行了多次工作会议,存入了超过 100 万美元的自有资金,并在生态系统内建立了一个运转良好的运营机构。
在二月和三月期间,Drift 的贡献者们在多个国家的多个大型行业会议上与该组织的成员进行了面对面的交流。到 4 月 1 日攻击发生时,双方的关系已经持续了近半年。
这项妥协似乎是通过两个途径实现的。
第二个人下载了 TestFlight 应用程序,这是苹果公司用于分发预发布应用程序的平台,可以绕过 App Store 的安全审查,该组织将其作为他们的钱包产品。
对于存储库向量,Drift 指出了 VSCode 和 Cursor 中一个已知的漏洞,这两个软件开发中最广泛使用的代码编辑器自 2025 年末以来就一直受到安全社区的关注。在该漏洞中,只需在编辑器中打开一个文件或文件夹,就足以静默地执行任意代码,而不会发出任何提示或警告。
设备一旦被攻破,攻击者便获得了所需的信息,从而获得了两个多重签名授权,进而发动了CoinDesk本周早些时候详细报道的持久随机数攻击。这些预签名交易在4月1日执行前,已闲置超过一周,在不到一分钟的时间内从协议金库中窃取了2.7亿美元。
根据链上资金流动可追溯到Radiant Capital攻击者,以及与已知的朝鲜民主主义人民共和国关联人物的运营重叠,归因于 UNC4736,这是一个与朝鲜国家有关联的组织,也被追踪为 AppleJeus 或 Citrine Sleet。
然而,亲自出席会议的人员并非朝鲜公民。众所周知,朝鲜此类威胁行为者会利用第三方中间人,这些人拥有精心构建的身份、工作经历和专业人脉网络,足以抵御尽职调查。
Drift敦促其他协议审核访问控制,并将所有与多重签名连接的设备视为潜在攻击目标。对于一个依赖多重签名治理作为其主要安全模型的行业而言,这种更广泛的影响令人不安。
但是,如果攻击者愿意花费六个月时间和一百万美元在生态系统中建立合法存在,与团队面对面交流,投入真金白银,然后等待,那么问题是,哪种安全模型能够捕获到这种情况。
