Drift官方分析显示,这次Solana链上去中心化交易所遭受的2.85亿美元攻击源于2025年秋季启动的针对性行动。黑客伪装成量化交易公司,从多个国际加密会议入手接触Drift贡献者,建立信任后通过Telegram群聊讨论交易策略和金库集成。链上数据显示,资金流向与2024年10月Radiant Capital 5300万美元黑客事件攻击者高度重合,Drift团队以中等置信度归因于朝鲜国家支持的UNC4736小组,该组别又称AppleJeus或Golden Chollima,自2018年起专注加密行业偷钱。CrowdStrike报告指出,这个小组瞄准美加韩印欧小金融科技公司,执行小额高频盗窃,为朝鲜提供稳定军费,包括新驱逐舰和核潜艇项目。Drift贡献者见面对象并非朝鲜人,而是第三方中介,这些人技术娴熟,有真实职业背景,对Drift运作了如指掌。
攻击路径在2025年底至2026年初逐步铺开,黑客先上线生态金库,填写策略表单时抛出专业问题,同时存入超过100万美元自有资金,营造合法运营假象。集成对话持续到2026年3月,他们分享项目链接、工具和应用,看似正常合作。4月1日攻击发生前后,Telegram记录和恶意软件全被删除。Drift调查锁定两大入口:一名贡献者克隆黑客分享的代码仓库,内藏恶意VS Code项目,利用tasks.json文件在打开文件夹时自动跑毒代码,此招自2025年12月Contagious Interview活动流行,微软已在VS Code 1.109和1.110版加防护;另一贡献者被哄下载TestFlight测试版钱包App,直接中招。SOL现报$79.79(24h -1.30%),事件曝光后Solana生态承压,但Drift强调这是情报级操作,黑客花数月建假身份,包括就业史和人脉网,经得起生意审查。
朝鲜网络部队已转向碎片化恶意软件生态,DomainTools调查称各任务线独立,工具基础设施分开,避免一锅端。Lazarus主攻敛财,Kimsuky管间谍,和Andariel推勒索破坏。社会工程仍是王牌,Contagious Interview骗开发者跑假GitHub仓库,植入DEV#POPPER RAT后门和OmniStealer窃密;IT工人诈骗更狠,朝鲜操作者用偷身份、AI头像和假简历混进西方远程岗位,从加密交易所到国防承包商,年薪全洗成加密货币回流。Flare报告挖出他们招伊朗叙利亚黎巴嫩沙特工程师,付crypto教练面试,伊朗人至少10例拿美企offer,中介用LinkedIn找印度爱尔兰人假冒面试官。Drift公告直指,这种跨国管道不只图钱,还藏战略意图,BTC现报$67,279(24h -0.04%),加密市场整体震荡中,DeFi项目防社工成燃眉之急。