今年規模最大的 DeFi 攻擊,起點竟是一場附贈酒水的社交活動——Drift Protocol 在 4 月 5 日披露,其遭遇的 4 月 1 日攻擊 是一場長達六個月的情報行動結果,目前以中高可信度被連結到北韓國家背景的行動者。
Drift Protocol 攻擊細節
滲透行動始於 2025 年秋季,當時一個自稱為量化交易公司的團隊,在一場大型加密貨幣會議上接觸到 Drift 的貢獻者。接下來數個月中,他們在多個國家舉辦的產業活動中,與團隊成員多次面對面會晤。
他們將超過 100 萬美元的自有資金存入一個 Ecosystem Vault。
他們在多場工作會議中提出細緻的產品問題,看起來就像是在 Drift 基礎設施內,建立一個合法的交易業務。
從 2025 年 12 月到 2026 年 3 月,這個團隊透過保險庫整合深化合作關係,並在各大會議上持續進行線下會面。貢獻者毫無懷疑理由——到了攻擊發生時,雙方關係已維持近半年之久,包含已驗證的專業背景、實質的技術討論,以及一個實際運作的鏈上存在。
4 月 1 日攻擊發動當下,該團隊的 Telegram 聊天記錄及惡意軟體均已被清除。鑑識調查辨識出兩個可能的入侵途徑:一個以部署保險庫前端為名分享的惡意程式碼儲存庫,以及一個被宣稱為該團隊錢包產品的 TestFlight 應用程式。
安全社群在 2025 年 12 月至 2026 年 2 月期間持續示警的 VSCode 與 Cursor 編輯器既有漏洞,可能讓攻擊者只需透過開啟檔案,就能在無聲無息間執行惡意程式碼。
協議其餘功能已全部凍結,且受害錢包已自多簽中移除。Mandiant 已受聘協助調查,攻擊者相關錢包也已在多家交易所與跨鏈橋營運方被標記。
延伸閱讀: Bitcoin Decentralization Faces A Problem: Mining Power Tied To Just Three Nations
北韓威脅行動者涉案疑慮
由 SEALS 911 團隊進行的調查評估認為,以中高可信度判斷,此次行動與 2024 年 10 月 Radiant Capital 攻擊背後的同一批威脅行動者有關。
Mandiant 先前已將 Radiant 攻擊歸因於 UNC4736,一個與北韓政府有聯繫的駭客團體,也被追蹤為 AppleJeus 或 Citrine Sleet。
兩者的連結同時建立在鏈上證據與行動模式上。
用於籌備與測試 Drift 行動的資金流向,可追溯至 Radiant 攻擊者,而整個行動中使用的人物身分也與已知的北韓(DPRK)相關活動部分重疊。值得注意的是,實際現身會面的個人並非北韓國籍——這一層級的北韓威脅行動者,已知慣於透過第三方中間人進行面對面接觸。
接下來閱讀: XRP Ledger Hits Record 4.49M Transactions Amid Price Decline