Drift Protocol官方周日发布的详细事件更新显示,这次2.7亿美元攻击并非简单黑客行为,而是朝鲜国家关联团体UNC4736(又称AppleJeus或Citrine Sleet)精心策划的长期情报行动。攻击者伪装成一家量化交易公司,从2025年秋季在大型加密会议上首次接触Drift团队成员开始,就展现出高超的技术水平和对协议的深刻理解。他们建立Telegram群组,展开数月关于交易策略和金库集成的讨论,这属于DeFi协议与交易公司标准互动流程。
攻击者逐步建立信任。Drift公告指出,他们在2025年12月至2026年1月间上线了一个Ecosystem Vault,与贡献者举行多次工作会议,并存入超过100万美元自有资金,在生态中构建真实运营存在。Drift团队成员还在多个国家的主要行业会议上与这些人面对面会晤,一直持续到2月和3月。到4月1日攻击发动时,双方的关系已近半年。链上资金流向追溯到Radiant Capital攻击者,进一步佐证UNC4736身份,尽管这些出现在会议上的个体并非朝鲜国民,而是DPRK威胁行为者常用第三方中介,配备完整身份、工作历史和专业网络,能经受尽职调查。
渗透路径暴露设备安全隐患。Drift团队称,攻击通过两条渠道:一条是伪装成钱包产品的恶意TestFlight应用,TestFlight是苹果用于分发预发布应用的平台,能绕过App Store安全审查;另一条利用VSCode和Cursor代码编辑器的已知漏洞,该漏洞从2025年底就被安全社区标记,仅需打开文件或文件夹,就能无声执行任意代码,无需任何提示。设备被控后,攻击者获取两个多签批准,启用CoinDesk本周详述的持久nonce攻击。这些预签交易闲置一周多,于4月1日以一分钟内抽干金库2.7亿美元结束。BTC现报$66,886(24h -0.34%),市场整体震荡中,此事加剧DeFi多签治理信任危机。
Drift警告其他协议需审计访问控制,把接触多签的每台设备视为潜在目标。攻击者花费半年时间和百万美元资金,亲自现身会议、注入真金白银并耐心等待,这让依赖多签的行业安全模型显得脆弱。SOL现报$79.62(24h -0.73%),作为Drift所在Solana生态代币,此事件或放大链上流动性担忧。DeFi项目以往靠多签分散风险,现在面对这种“长线钓大鱼”式情报战,单纯技术补丁已不够用。