据该团队周日稍早发布的一份详细事件更新称,一次为期六个月的情报行动先于 Drift Protocol 的 270 million 美元漏洞利用,并由一个与朝鲜国家有关联的组织实施。
据称,攻击者大约在 2025 年秋季于一场大型加密会议上首次取得联系,自称为一家量化交易公司,表示希望与 Drift 进行整合。
Drift 表示,他们在技术上非常熟练,有可验证的专业背景,并且理解该协议的运作方式。该组织建立了一个 Telegram 群组,随后几个月里围绕交易策略与金库集成展开了实质性的对话——这种互动是交易公司如何与 DeFi 协议接入的标准流程。
在 2025 年 12 月至 2026 年 1 月期间,该组织在 Drift 上对一个 Ecosystem Vault 完成了入驻,和贡献者举行了多次工作会议,存入了超过 1 million 美元的自有资金,并在生态系统内部建立了可运作的运营存在。
截至 2 月和 3 月期间,Drift 的贡献者曾在多个国家的多个主要行业会议上与该组织成员线下会面。到 4 月 1 日发起攻击时,双方关系已将近半年。
此次被攻破似乎来自两个途径。
第二种是下载了 TestFlight 应用——这是苹果用于分发预发布应用的平台,可绕过 App Store 的安全审查。该组织将其展示为自己的钱包产品。
关于仓库途径,Drift 指向 VSCode 和 Cursor 中已知的漏洞——这两款是软件开发中最广泛使用的代码编辑器之一——安全社区自 2025 年末以来一直在关注:只要在编辑器中打开文件或文件夹,就足以在不弹出提示或任何警告的情况下,悄然执行任意代码。
一旦设备被攻破,攻击者就拥有了获取两项多重签名批准所需的一切,从而实现 CoinDesk 本周早些时候披露的持久 nonce 攻击。那些预先签名的交易在 4 月 1 日执行前沉睡了一周多;攻击在一分钟内从该协议的金库中掏空了 270 million 美元。
归因指向 UNC4736——一个与朝鲜国家有关联的组织,同时也被称为 AppleJeus 或 Citrine Sleet。该结论基于链上资金流向的追踪结果,资金流可追溯至 Radiant Capital 的攻击者,以及与已知与 DPRK 有关的人员之间存在业务重叠。
然而,出现在会议现场的个人并非朝鲜国籍。到这一层级的 DPRK 威胁行为者被认为会部署第三方中介,并为其构建了完全成型的身份、就业经历以及专业网络,以经得起尽职调查。
Drift 呼吁其他协议审计访问控制,并将任何接触多重签名的设备都视为潜在目标。更广泛的影响对于依赖多重签名治理作为主要安全模型的整个行业而言令人不安。
但如果攻击者愿意花费六个月和一百万美元在生态系统中打造一个“看起来合法”的存在、在线下会见团队、投入真实资本,并且等待——那么问题就是:究竟是哪种安全模型被设计用来捕捉这种情况的?
