Drift Protocol官方4月5日发布详细事件更新报告,直指这起攻击来自北韩支持的黑客团队。攻击者伪装成量化交易公司,从2025年秋季一场大型加密会议开始接触Drift贡献者。几个月里,他们现身多国活动,组织工作会谈,还在Telegram群聊中讨论金库集成方案。链上数据显示,这个假团队在2025年12月到2026年1月间上线了一个生态金库,存入超过100万美元真实资金。Drift贡献者甚至多次与这些人面对面会晤,建立起所谓信任。整个过程远超普通钓鱼或招聘骗局,攻击者用真金白银和线下握手玩长线。
攻击细节暴露后,业内炸锅。Drift锁定三种可能入侵路径:一名贡献者克隆了对方分享的金库前端代码仓库,触发已知VSCode和Cursor漏洞,这个bug从2025年底就被安全研究员点名,能在打开文件时悄无声息执行任意代码,无需用户交互。另一名下载了伪装成钱包的TestFlight应用。4月1日资金被抽干后,黑客抹掉所有Telegram聊天记录和恶意软件。Drift已冻结协议剩余功能,移除受感染钱包的多签权限。SEALS 911团队以中高置信度评估,这次攻击者与2024年10月Radiant Capital黑客事件同属一伙,该案由Mandiant归于UNC4736组织。链上资金流和操作重叠证实了关联。Solana生态承压,SOL现报$79.72(24h -0.58%),市场对这类DeFi漏洞高度敏感。
行业大佬直呼安全警钟。Solana开发者Armani Ferrante呼吁所有加密团队暂停增长,全面审计安全栈,他说每个团队都该抽专人盯安全,不然长不了。加密开发者Gautham感慨,最危险的黑客不显山露水。安全研究员Tay本以为是招聘骗局,结果震惊于操作深度,怀疑对方已锁定多家团队。Drift聘请Mandiant做设备取证,虽未正式归因,但强调现身的人不是朝鲜国民,而是第三方中介。北韩黑客已升级到用真人见面这种高端玩法。Drift警告全生态:审计访问控制,把碰多签的每台设备当靶子,有疑虑直接找SEALS 911。