今年規模最大的 DeFi 攻擊,起點竟是一場提供免費飲品的社交活動——Drift Protocol 在 4 月 5 日披露,其於 4 月 1 日遭到的駭客攻擊,實際上是一起長達六個月的情報行動,現已被以中高程度信心,連結到與北韓政府有關聯的行動者。
Drift Protocol 攻擊細節
這次滲透行動開始於 2025 年秋季,當時一個自稱為量化交易公司的團隊,在一場大型加密貨幣會議上接觸到 Drift 的貢獻者。接下來數月間,他們在多個國家舉行的產業活動中,多次與團隊成員面對面會晤。
他們將超過 100 萬美元自有資金存入一個 Ecosystem Vault。
他們在多次工作會議中提出許多細節性的產品問題,看起來像是在 Drift 基礎設施中建立一個合法的交易業務。
2025 年 12 月到 2026 年 3 月期間,這個團隊透過保險庫整合進一步加深關係,並在各種會議中持續進行面對面互動。貢獻者沒有理由起疑——到攻擊發生時,雙方關係已維持近半年,包含經過驗證的專業背景、實質且深入的技術交流,以及一個正常運作的鏈上存在。
在 4 月 1 日攻擊發動時,該團隊的 Telegram 聊天紀錄與惡意軟體都已被清除。鑑識檢視指出兩個可能的入侵途徑:一個以部署保險庫前端為名,共享的惡意程式碼儲存庫,以及一個被當作該團隊錢包產品呈現的 TestFlight 應用程式。
一項已知存在於 VSCode 與 Cursor 編輯器中的漏洞,從 2025 年 12 月到 2026 年 2 月期間持續被安全社群警示,可能讓攻擊者只要透過開啟檔案,就能在無聲無息中執行惡意程式碼。
協議其餘功能目前已全部凍結,遭滲透的錢包也已自多簽中移除。團隊已聘請 Mandiant 協助調查,攻擊者錢包則已在各大交易所與跨鏈橋營運商間標記。
延伸閱讀: Bitcoin Decentralization Faces A Problem: Mining Power Tied To Just Three Nations
疑似北韓威脅行動者所為
由 SEALS 911 團隊主導的調查,以中高程度信心評估,這次行動與 2024 年 10 月 Radiant Capital 駭客事件,出自同一批威脅行動者之手。
Mandiant 先前已將那起攻擊歸因於 UNC4736,一個與北韓政府有關聯的團體,亦被追蹤為 AppleJeus 或 Citrine Sleet。
這項連結是建立在鏈上證據與行動模式之上。
用於籌備與測試 Drift 行動的資金流向,可追溯至 Radiant 攻擊者,而在整個攻擊行動中所使用的人格身分,也與已知的 DPRK 相關活動有所重疊。值得注意的是,實際現身與團隊會面的個人並非北韓公民——此層級的 DPRK 威脅行動者,已知會透過第三方中介進行面對面互動。
下一篇閱讀: XRP Ledger Hits Record 4.49M Transactions Amid Price Decline