Drift Protocol (DRIFT) 於 4 月 5 日發布了詳細的事件更新,揭露 4 月 1 日發生的 2.85 億美元攻擊事件是由北韓國家支持的行為者進行長達六個月的情報行動所導致。
該披露描述了一種遠超典型網路釣魚或招募詐騙的社交工程手法,涉及面對面會議、實際資金部署以及數月的信任建立。
一家長期布局的假交易公司
根據 Drift 表示,一個偽裝成量化交易公司的團體於 2025 年秋季在一場大型加密貨幣會議上首次接觸貢獻者。
在接下來的幾個月裡,這些人出現在多個國家的多場活動中,舉行工作會議,並持續透過 Telegram 討論金庫整合事宜。
在 X 上追蹤我們 以獲取最新消息
在 2025 年 12 月至 2026 年 1 月期間,該團體在 Drift 上建立了生態系統金庫,存入超過 100 萬美元的資金,並參與了詳細的產品討論。
到 3 月時,Drift 貢獻者已多次與這些人面對面會面。
即使是網路安全專家也對此感到擔憂,研究員 Tay 分享說,她最初預期這是典型的招募詐騙,但發現該行動的深度更加令人震驚。
裝置如何被入侵
Drift 識別出三個可能的攻擊途徑:
- 一名貢獻者複製了該團體分享的金庫前端程式碼儲存庫。
- 第二名貢獻者下載了一個被宣稱為錢包產品的 TestFlight 應用程式。
- 針對儲存庫途徑,Drift 指出了一個已知的 VSCode 和 Cursor 漏洞,安全研究人員自 2025 年底以來一直在標記該漏洞。
該漏洞允許任意程式碼在檔案或資料夾於編輯器中開啟時靜默執行,無需任何使用者互動。
在 4 月 1 日的資金流失後,攻擊者清除了所有 Telegram 聊天記錄和惡意軟體。Drift 此後凍結了剩餘的協議功能,並從多重簽名中移除了被入侵的錢包。
SEALS 911 團隊以中高度信心評估,相同的威脅行為者執行了 2024 年 10 月的 Radiant Capital 攻擊事件,Mandiant 將其歸因於 UNC4736。
鏈上資金流動和兩次行動之間的營運重疊支持了這一聯繫。
產業呼籲安全重置
著名的 Solana 開發者 Armani Ferrante 呼籲每個加密貨幣團隊暫停成長工作,並審查其整個安全體系。
Drift 指出,親自出現的個人並非北韓公民。這種級別的北韓威脅行為者已知會部署第三方中介進行面對面接觸。
Drift 聘請進行裝置鑑識的 Mandiant 尚未正式將此次攻擊歸因。
該披露對更廣泛的生態系統發出警告。Drift 敦促團隊審查存取控制,將接觸多重簽名的每個裝置視為潛在目標,並在懷疑遭受類似針對時聯繫 SEAL 911。
Drift Protocol 的 2.85 億美元盜竊事件始於一次握手和 6 個月的信任建立這篇文章首次發表於 BeInCrypto。
來源: https://beincrypto.com/drift-north-korea-spy-operation-hack/
