今年最大型的 DeFi 攻擊,竟然源自一場有免費飲品的社交活動——Drift Protocol 在 4 月 5 日披露,其於 4 月 1 日遭到的 Apr. 1 hack 事件,其實是一場長達 6 個月的情報行動,現已被以中高信心度歸因為與北韓國家級行為者有關。
Drift Protocol 攻擊細節
這次滲透行動在 2025 年秋季開始,當時一個自稱為量化交易公司的團隊,在一場大型加密貨幣會議上接觸 Drift 的貢獻者。其後數個月,他們在多個國家舉行的行業活動中,多次與團隊成員面對面會面。
他們向一個 Ecosystem Vault 存入了超過 100 萬美元的自有資金。
他們在多次工作會議中提出非常具體的產品問題,看起來是在 Drift 的基礎設施內部,建立一個貨真價實的交易營運。
於 2025 年 12 月至 2026 年 3 月期間,該團隊透過金庫整合加深關係,並在會議上持續進行線下會面。貢獻者當時毫無懷疑——到攻擊發生時,雙方關係已維持近半年,對方具有經過核實的專業背景、實質性的技術討論,以及可運作的鏈上存在。
4 月 1 日攻擊觸發時,該團隊在 Telegram 上的聊天紀錄及惡意軟件已被徹底清除。鑑證檢查辨識出兩個可能的入侵途徑:一是以部署金庫前端為名共享的惡意程式碼倉庫,二是以錢包產品為包裝,透過 TestFlight 發佈的應用程式。
安全社群在 2025 年 12 月至 2026 年 2 月期間,一直高調提示 VSCode 和 Cursor 編輯器中的已知漏洞;該漏洞或可在用戶僅僅打開某個檔案時,就悄然觸發程式碼執行。
所有剩餘的協議功能已被凍結,受入侵錢包亦已自 multisig 中移除。團隊已委託 Mandiant 展開調查,攻擊者的錢包在多家交易所及跨鏈橋營運方均已被標記。
Also Read: Bitcoin Decentralization Faces A Problem: Mining Power Tied To Just Three Nations
疑涉北韓威脅行為者
SEALS 911 團隊的調查,以中高信心度判斷,這次行動由 2024 年 10 月 Radiant Capital 攻擊事件背後的同一批威脅行為者主導。
Mandiant 早前已將 Radiant 攻擊歸因於 UNC4736,這是一支與北韓關聯的國家級組織,亦以 AppleJeus 或 Citrine Sleet 為人追蹤。
兩者的連結主要來自鏈上證據與作業模式。
為部署和測試今次 Drift 行動而動用的資金流向,追蹤後可接駁至 Radiant 攻擊者,而整個攻擊活動中使用的人格身份,亦與已知的北韓相關活動有重疊。值得注意的是,親身出面會面的個體並非北韓國民——這個級別的北韓威脅行為者,已知會利用第三方中介負責面對面接觸。
Read Next: XRP Ledger Hits Record 4.49M Transactions Amid Price Decline