今年迄今最大的一宗 DeFi 攻擊,起於一場有免費酒水的社交活動——Drift Protocol 在 4 月 5 日披露,其遭遇的 4 月 1 日駭客攻擊,其實是一起長達六個月的情報滲透行動,現已被以中高信心程度,連結至北韓政府關聯的行動者。
Drift Protocol 攻擊細節
這次滲透行動始於 2025 年秋季,當時一個自稱為量化交易公司的團隊,在一場大型加密貨幣會議上接觸到 Drift 的貢獻者。接下來數個月,他們在多個國家舉辦的產業活動中,多次與團隊成員面對面會晤。
他們將超過 100 萬美元自有資金存入一個 Ecosystem Vault。
他們在多場工作會議中提出非常細緻的產品問題,逐步在 Drift 的基礎設施內,建立起看似合法的交易業務。
自 2025 年 12 月到 2026 年 3 月,該團隊透過金庫整合進一步深化關係,並在會議上持續進行面對面會談。貢獻者當時毫無懷疑——到攻擊發生時,雙方關係已維持近半年,包括已驗證的專業背景、具體深入的技術對話,以及實際運作的鏈上活動。
攻擊在 4 月 1 日發動時,該團隊的 Telegram 聊天紀錄與惡意軟體已被清除。鑑識檢查指出兩個可能的入侵途徑:一個以部署金庫前端為名,共享的惡意程式碼儲存庫,以及一個被包裝成該團隊錢包產品的 TestFlight 應用程式。
在 VSCode 與 Cursor 編輯器中已知的一項漏洞,從 2025 年 12 月到 2026 年 2 月期間即被安全社群積極警示,可能讓攻擊者只要受害者開啟檔案,就能在未被察覺的情況下遠端執行程式碼。
協議其餘功能目前皆已凍結,遭入侵的钱包也已自多重簽章中移除。團隊已聘請 Mandiant 介入調查,並在各大交易所與跨鏈橋營運商標記攻擊者錢包。
延伸閱讀: Bitcoin Decentralization Faces A Problem: Mining Power Tied To Just Three Nations
疑似北韓威脅行為者所為
SEALS 911 團隊的調查,以中高信心評估這次行動與 2024 年 10 月 Radiant Capital 駭客攻擊為同一批威脅行為者所為。
Mandiant 先前已將那次攻擊歸因於 UNC4736,一個與北韓政府有關的組織,亦被追蹤為 AppleJeus 或 Citrine Sleet。
這次關聯性是基於鏈上證據與行動模式兩者。為籌備與測試此次 Drift 行動而進行的資金流動,可追溯至 Radiant 攻擊者;而整個行動中所使用的人設,也與已知的北韓(DPRK)相關活動有所重疊。值得注意的是,實際現身會面的個人並非北韓國民——此等級的 DPRK 威脅行為者,已知會透過第三方中介進行面對面互動。
下一篇閱讀: XRP Ledger Hits Record 4.49M Transactions Amid Price Decline