Drift Protocol(DRIFT)于 4 月 5 日发布详细事件通报,披露 4 月 1 日发生的价值 2.85 亿美元安全事件系朝鲜国家支持的黑客组织,历时半年深入渗透与布局所致。
通报显示,此次攻击涉及极其复杂的社交工程手法,远超常见的钓鱼攻击或虚假招聘骗局,包括线下会面、实地资金投入,及长达数月的信任建立过程。
Drift 披露,2025 年秋季,一伙冒充量化交易公司的人员在某大型加密会议上首次接触其团队成员。
随后数月,这一团体频繁现身多国多场加密行业活动,与 Drift 团队举行深度工作坊,并持续在 Telegram 上交流金库集成技术细节。
2025 年 12 月至 2026 年 1 月,该组织以社区成员身份加入 Drift 金库系统,向平台实缴超 100 万美元,并积极参与产品方案讨论。
截至 3 月,Drift 团队已多次与该组织成员进行线下面对面交流。
“……最危险的黑客外表看起来往往不像黑客。” 加密开发者 Gautham 如此评价。
即使是 Web3 安全领域的专家也对此深感震惊。安全研究员 Tay 表示,她原本以为这会是一次常规的招聘骗局,实际却发现黑客行动渗透和布局的深度远超预期。
Drift 团队识别出三条可能的攻击向量:
- 其中一名成员下载了该组织提供的金库前端代码仓库并进行了克隆操作。
- 另一名成员安装了对方递交的一款被伪装为钱包的 TestFlight 应用。
- 针对代码仓库这一路径,Drift 指出自 2025 年底起被安全研究者警示的 VSCode 及 Cursor 编辑器漏洞,或为关键入口。
该漏洞允许恶意代码在用户打开文件或文件夹瞬间静默执行,无需任何手动操作,即可完全入侵。
在 4 月 1 日资金被盗之后,攻击者迅速删除所有 Telegram 聊天记录、销毁相关恶意软件。Drift 随即紧急冻结剩余协议功能,并将受影响的钱包移出多签管理。
SEALS 911 团队以中高置信度判断,此次事件与 2024 年 10 月 Radiant Capital 遭遇的黑客攻击为同组威胁行为体所为。Mandiant 此前将该事件归因于 UNC4736。
链上资金流向和两起事件在操作环节上的高度重合,进一步印证了该判断。
知名 Solana 开发者 Armani Ferrante 呼吁所有加密团队暂停扩张步伐,全面梳理并审计各自的安全体系。
“所有加密团队都应该借此机会放慢脚步,聚焦安全。如果条件允许,建议专门设置安全团队。被黑客攻破,一切增长都是空谈。”——Ferrante 表示。
Drift 表示,线下出现的相关人员并非朝鲜籍。众所周知,朝鲜高级威胁组织通常会通过第三方代理现场操作交接。
Drift 已聘请 Mandiant 进行设备取证,但目前 Mandiant 尚未正式披露该攻击的归因结果。
本轮披露对整个生态敲响深化安全的警钟。Drift 建议团队立即审查访问控制,将涉及多签的钱包和设备视为潜在攻击目标,并在发现类似风险时,及时联系 SEAL 911 求助。
