Drift Protocol (DRIFT) 於 4 月 5 日發佈了一份詳細的事件更新,揭露了 4 月 1 日發生的 2.85 億美元的漏洞利用事件是朝鮮國家支持的行動者歷時六個月的情報行動的結果。
披露的內容描述了一種遠超典型網絡釣魚或招聘詐騙的社會工程手段,涉及面對面的會面、真正的資金投入以及數月的信任建立。
一家精心策劃長期騙局的虛假交易公司
據 Drift 稱,一個冒充量化交易公司的團體於 2025 年秋季首次在一次大型加密貨幣會議上接觸了參與者。
在接下來的幾個月裡,這些人出現在多個國家的多個活動中,舉行了工作會議,並在Telegram 上持續討論金庫集成問題。
關注我們的X賬號,即可第一時間獲取最新消息。
2025 年 12 月至 2026 年 1 月期間,該團隊在 Drift 上開設了生態系統金庫,存入了超過 100 萬美元的資金,並參與了詳細的產品討論。
到三月份,《漂移》的撰稿人已經多次與這些人面對面交流過。
“……最危險的黑客看起來不像黑客,”加密貨幣開發者高瑟姆評論道。
就連網絡安全專家也對此感到擔憂,研究員 Tay 表示,她最初以為這只是一個典型的招聘騙局,但後來發現該騙局的規模遠比這更令人震驚。
設備是如何被入侵的
Drift 識別出三種可能的攻擊途徑:
- 一位貢獻者克隆了該團隊共享的用於 Vault 前端的代碼庫。
- 第二名用戶下載了一個TestFlight應用程序,該應用程序被展示為錢包產品。
- 對於存儲庫向量,Drift 指出了 VSCode 和 Cursor 中一個已知的漏洞,安全研究人員從 2025 年末就開始標記該漏洞。
該漏洞允許任意代碼在編輯器中打開文件或文件夾時立即靜默執行,無需用戶交互。
4月1日資金被盜後,攻擊者清除了所有Telegram聊天記錄和惡意軟件。此後,Drift凍結了剩餘的協議功能,並從多重簽名中移除了被入侵的錢包。
SEALS 911 團隊以中等至高度的信心評估認為,同一批威脅行為者實施了 2024 年 10 月Radiant Capital 的黑客攻擊, Mandiant 將此攻擊歸因於 UNC4736 。
鏈上資金流動和這兩個項目之間的運營重疊都印證了這種聯繫。
業界呼籲重置安全機制
Solana 的知名開發者 Armani Ferrante 呼籲所有加密貨幣團隊暫停增長工作,並對其整個安全堆棧進行審計。
費蘭特表示: “加密貨幣領域的每個團隊都應該藉此機會放慢腳步,專注於安全。如果可能的話,最好專門安排一個團隊負責安全……如果被黑客攻擊,你就無法發展壯大。”
Drift指出,親自到場的人員並非朝鮮公民。眾所周知,朝鮮此類級別的威脅行為者通常會利用第三方中間人進行面對面接觸。
Drift 聘請的 Mandiant 公司負責設備取證,但該公司尚未正式確定此次漏洞的來源。
此次披露對整個生態系統起到了警示作用。Drift敦促各團隊審核訪問控制,將所有接觸多重簽名的設備視為潛在目標,如果懷疑遭遇類似攻擊,請立即聯繫SEAL 911。
