据团队周日早些时候发布的一份详细事件更新称,一次持续六个月的情报行动在成功利用 Drift Protocol 2.7亿美元的漏洞之前展开。该行动由一个与朝鲜国家有关联的组织实施。
据称,攻击者最初在 2025 年秋季左右于一场大型加密货币会议上取得联系,作自我介绍为一家量化交易公司,试图与 Drift 进行整合。
Drift 表示,这些攻击者技术上很娴熟,有可核实的专业背景,并且了解该协议如何运作。随后建立了一个 Telegram 群组,接下来的数月里围绕交易策略与金库集成进行了大量实质性沟通——这正是交易公司对 DeFi 协议进行接入时的常见流程。
在 2025 年 12 月至 2026 年 1 月期间,该组织向 Drift 上线了一个 Ecosystem Vault,与贡献者进行了多次工作会谈,存入了超过 100 万美元的自有资金,并在生态系统内部建立了一个可正常运作的业务存在。
截至 2 月和 3 月期间,Drift 的贡献者曾在多个国家的多场主要行业会议上与该组织成员线下见面。到 4 月 1 日攻击启动时,这段关系已近半年的时间。
此次入侵似乎通过两个途径发生。
其一是通过一个存储库向受害设备植入恶意软件。
其二下载了 TestFlight 应用——这是苹果用于分发预发布应用的平台,可绕过 App Store 的安全审查;该组织将其展示为自己的钱包产品。
对于存储库途径,Drift 指出一个已知漏洞,涉及 VSCode 和 Cursor——这两款是软件开发中最广泛使用的代码编辑器之一——安全界自 2025 年下半年起就一直在进行通报。在这种情况下,仅需在编辑器中打开文件或文件夹,就足以在不提示、不警告的情况下静默执行任意代码。
一旦设备被攻破,攻击者就拥有了获取两项多重签名(multisig)批准所需的一切;这些批准使得 CoinDesk 本周早些时候详细介绍的“耐久 nonce(durable nonce)攻击”得以实施。那些预先签名的交易在 4 月 1 日执行之前沉睡了一周多时间,攻击在不到一分钟内从协议的金库中掏走了 2.7 亿美元。
溯源指向 UNC4736,一个与朝鲜国家有关联的组织;它也被追踪为 AppleJeus 或 Citrine Sleet。该判断基于链上资金流的追踪结果指回 Radiant Capital 的攻击者,以及与已知与 DPRK 相关的作案人之间存在的行动重叠。
不过,亲自出席会议的个人并非朝鲜国民。据悉,达到这一层级的 DPRK 威胁行为者会部署第三方中介,使用完全构建好的身份信息、就业经历以及专业网络,以经得起尽职调查。
Drift 呼吁其他协议对访问控制进行审计,并将任何与多重签名有关联的设备都视为潜在目标。更广泛的含义让人对一个依赖以多重签名治理为主要安全模型的行业感到不安。
但如果攻击者愿意花六个月、投入一百万美元,在生态系统中建立一个看似合法的存在,在线下与团队见面,投入真实资本,并且等待,那么问题就在于:到底是什么安全模型被设计用来识别并阻止这种情况。
