Drift Protocol 剛剛發佈了對造成超過2.85 億鎂損失的攻擊事件的初步調查結果,揭露了一起由據信與朝鮮政府有關的組織精心策劃、歷時六個月的黑客行動。
朝鮮黑客組織的指紋。
調查顯示,Drift攻擊與2024年10月發生的Radiant Capital黑客攻擊在鏈上交易流程和執行方式等方面具有高度相似性。網絡安全公司Mandiant此前已將Radiant Capital攻擊歸咎於UNC4736組織,該組織被認為與朝鮮國家機構有直接聯繫。
這次攻擊的危險之處不僅在於其造成的破壞規模,更在於其精心策劃。從2025年秋季開始,一群人冒充量化交易公司的代表,在各種國際加密會議上接近Drift的合作者。
在建立初步聯繫後,這些人邀請受害者加入一個 Telegram 群組,並在接下來的六個月裡就交易策略和金融操作進行了深入討論。為了建立信譽,該團伙甚至在 Drift 平臺上部署了一個價值 100 萬鎂的真實資金的“生態系統金庫”——這是一項旨在增強其合法性的真實投資。
經過多次線下會面和漫長的信任建立過程後,攻擊者開始Chia惡意鏈接和工具。嫌疑人最終通過一個包含惡意軟件的代碼庫和一個在TestFlight上測試的錢包應用程序完成了入侵。攻擊完成後,所有聊天曆史和相關惡意軟件都被清除。
響應和處理步驟
雖然調查仍在進行中,目前的調查結果只是初步的,但 Drift 已經實施了一系列緊急措施:凍結所有剩餘的協議功能,從多重簽名機制中移除被入侵的錢包,並向交易所和鏈鏈橋運營商標標記攻擊者的錢包,以防止進一步的提取。
