今年规模最大的 DeFi 攻击始于一场有免费酒水的社交活动——Drift Protocol 于 4 月 5 日披露,其 4 月 1 日被黑事件 源于一场持续六个月的情报行动,目前已被以中高置信度关联至朝鲜国家支持的黑客组织。
Drift Protocol 攻击细节
渗透行动在 2025 年秋季开始,当时一伙自称量化交易公司的团队在一场大型加密会议上接近 Drift 贡献者。此后数月中,他们在多个国家的行业活动上多次与团队成员线下面对面会面。
他们向一个 Ecosystem Vault 存入了超过 100 万美元的自有资金。
他们在多次工作会谈中提出细致的产品问题,逐步在 Drift 的基础设施之内搭建起看似合法的交易业务。
在 2025 年 12 月至 2026 年 3 月间,该团队通过金库集成加深绑定,并在会议上持续进行线下会面。贡献者们没有怀疑理由——到攻击发生时,这段关系已维持近半年,包含经过验证的职业背景、实质性的技术讨论以及实际运作的链上存在。
4 月 1 日攻击爆发时,该团队的 Telegram 聊天记录和恶意软件都已被清理。取证审查锁定了两个可能的入侵向量:一个以部署金库前端为名共享的恶意代码仓库,以及一个被介绍为该团队钱包产品的 TestFlight 应用。
安全社区在 2025 年 12 月至 2026 年 2 月期间持续预警的 VSCode 和 Cursor 编辑器已知漏洞,可能允许攻击者仅通过打开文件就静默执行代码。
协议剩余功能已全部冻结,被攻陷的钱包也已从多签中移除。Mandiant 已受聘展开调查,攻击者钱包已在各大交易所和跨链桥运营方处被标记。
延伸阅读: Bitcoin Decentralization Faces A Problem: Mining Power Tied To Just Three Nations
朝鲜威胁行为者被怀疑参与
SEALS 911 团队的调查评估认为,以中高置信度判断,此次行动由 2024 年 10 月 Radiant Capital 被黑事件背后的同一威胁行为者实施。
Mandiant 此前已将那起攻击归因于 UNC4736,一个与朝鲜国家相关的组织,也被称为 AppleJeus 或 Citrine Sleet。
两起事件之间的联系基于链上证据和作案模式。
用于筹备和测试 Drift 行动的资金流可追溯至 Radiant 攻击者,而整个行动中使用的人设与已知的朝鲜相关活动高度重叠。值得注意的是,线下现身的个体并非朝鲜公民——处于这一层级的朝鲜威胁行为者通常会使用第三方中间人进行面对面接触。
下篇阅读: XRP Ledger Hits Record 4.49M Transactions Amid Price Decline