據該團隊週日早些時候發佈的一份詳細事件更新報告顯示,在價值 2.7 億美元的 Drift Protocol 漏洞利用事件發生之前,進行了為期六個月的情報行動,該行動由一個與朝鮮有關聯的組織執行。
攻擊者最早於 2025 年秋季在一次大型加密貨幣會議上與 Drift 接觸,他們自稱是一家量化交易公司,希望與 Drift 整合。
Drift表示,他們技術嫻熟,擁有可核實的專業背景,並且瞭解協議的運作方式。隨後建立了一個Telegram群組,並在接下來的幾個月裡圍繞交易策略和金庫集成等問題進行了實質性的討論,這些互動是交易公司接入DeFi協議的常規流程。
2025 年 12 月至 2026 年 1 月期間,該團隊在 Drift 上啟用了生態系統金庫,與貢獻者舉行了多次工作會議,存入了超過 100 萬美元的自有資金,並在生態系統內建立了一個運轉良好的運營機構。
在二月和三月期間,Drift 的貢獻者們在多個國家的多個大型行業會議上與該組織的成員進行了面對面的交流。到 4 月 1 日攻擊發生時,雙方的關係已經持續了近半年。
這項妥協似乎是通過兩個途徑實現的。
第二個人下載了 TestFlight 應用程序,這是蘋果公司用於分發預發佈應用程序的平臺,可以繞過 App Store 的安全審查,該組織將其作為他們的錢包產品。
對於存儲庫向量,Drift 指出了 VSCode 和 Cursor 中一個已知的漏洞,這兩個軟件開發中最廣泛使用的代碼編輯器自 2025 年末以來就一直受到安全社區的關注。在該漏洞中,只需在編輯器中打開一個文件或文件夾,就足以靜默地執行任意代碼,而不會發出任何提示或警告。
設備一旦被攻破,攻擊者便獲得了所需的信息,從而獲得了兩個多重簽名授權,進而發動了CoinDesk本週早些時候詳細報道的持久隨機數攻擊。這些預簽名交易在4月1日執行前,已閒置超過一週,在不到一分鐘的時間內從協議金庫中竊取了2.7億美元。
根據鏈上資金流動可追溯到Radiant Capital攻擊者,以及與已知的朝鮮民主主義人民共和國關聯人物的運營重疊,歸因於 UNC4736,這是一個與朝鮮國家有關聯的組織,也被追蹤為 AppleJeus 或 Citrine Sleet。
然而,親自出席會議的人員並非朝鮮公民。眾所周知,朝鮮此類威脅行為者會利用第三方中間人,這些人擁有精心構建的身份、工作經歷和專業人脈網絡,足以抵禦盡職調查。
Drift敦促其他協議審核訪問控制,並將所有與多重簽名連接的設備視為潛在攻擊目標。對於一個依賴多重簽名治理作為其主要安全模型的行業而言,這種更廣泛的影響令人不安。
但是,如果攻擊者願意花費六個月時間和一百萬美元在生態系統中建立合法存在,與團隊面對面交流,投入真金白銀,然後等待,那麼問題是,哪種安全模型能夠捕獲到這種情況。
