Drift Protocol发布黑客案报告:一场策划6个月的攻击 疑似北韩关联组织所为
币圈子(120btc.CoM):去中心化永续合约交易所Drift Protocol于4月1日惨遭黑客洗劫约2.85亿美元后,官方已直接透过以太坊区块链,向四个持有被盗资金的黑客钱包发送了链上讯息,试图与攻击者开启谈判大门。今(5)日稍早,官方也发布事故调查报告。
Drift正积极与执法部门、鉴识合作伙伴及生态系团队合作,全面还原4月1日攻击事件的真相。
随着调查与鉴识工作的持续进行,我们现在可以分享更多关于「攻击向量」以及该行动如何策划的细节。Drift公开这些信息,是因为生态系中的其他团队应了解此类攻击的实际样貌,并据此保护自己。为保护现正进行中的调查完整性,部分细节将暂保持简要。
当前状态
协议冻结:所有剩余的协议功能已冻结,受黑钱包已从多签(Multisig)中移除。
资产追踪:攻击者钱包已在各交易所及跨链桥营运商处标记黑名单。
专业介入:已聘请Mandiant(知名资安公司)主导调查。
一场策划6个月的攻击
初步调查显示,Drift遭遇的是一场结构化的情报行动,需要组织性的支持、大量资源以及数月的刻意准备。
1.锁定与接触(2025年秋季)
大约在2025年秋季,Drift的贡献者在一场大型加密货币会议上被一群人搭讪。这群人伪装成一家寻求与协议集成的量化交易公司。现在看来,这显然是有针对性的接触,在接下来的六个月里,该团体的成员在多个国家的多次大型行业会议上,刻意寻找并联系特定的Drift贡献者。
2.建立信任(2025年12月–2026年1月)
他们表现出极高的技术素养,拥有可验证的专业背景,且对Drift的运作模式了若指掌。
深度沟通:双方在第一次见面后便建立了Telegram群组,随后进行了数月关于交易策略和保险库(Vault)集成的实质性对话。
实际投入:他们在Drift上架了一个「生态系保险库」,填写了详细的策略说明,甚至存入了超过100万美元的自有资金。他们耐心地在Drift生态系中建立了一个运作正常的实体形象。
3.持续渗透(2026年2月–3月)
集成的对话持续进行,Drift的多名贡献者在多次会议中与这群人多次面谈。此时,这段关系已建立近半年,他们不再是陌生人,而是贡献者们多次亲自见过面的「合作伙伴」。
4.攻击触发与清理
在4月1日漏洞被利用后,我们对受影响的设备、帐号和通讯历史进行了彻底的鉴识审查。与该交易团体的互动被锁定为可能的入侵向量。就在攻击发生的同时,他们的Telegram聊天记录和恶意软件已被完全清除。
潜在的渗透机制
我们认为可能存在三个攻击向量:
代码库克隆:一名贡献者可能在克隆(Clone)该团体分享的代码库时受黑。对方声称这是为了部署保险库的前端。
测试版应用程序:另一名贡献者被诱导下载了一个TestFlight应用程序,对方称其为他们的钱包产品。
IDE漏洞利用:针对代码库向量,一种可能性是利用VSCode或Cursor的已知漏洞(安全社群在2025年12月至2026年2月间曾积极示警)。只要在编辑器中打开文件或资料夹,即可静默执行任意代码,无需用户点击、授权或任何警告。
归因分析
根据SEAL 911团队的支持,我们以「中高程度的信心」评估:此次行动是由同一批威胁行为者所为,即2024年10月攻击Radiant Capital的团体。
归属单位:Mandiant将其归因为UNC4736(北韩关联组织,亦被称为Apple Jeus或Citrine Sleet)。
关联依据:
链上证据:用于测试和部署此次行动的资金流,可追溯至Radiant攻击者。
行动特征:此次行动中使用的身份,与已知与北韩相关的活动有显著重叠。
特别注意:亲自露面的人员并非北韩籍。已知此类级别的北韩威胁者会雇用第三方中间人进行面对面的关系建立。
注:Mandiant尚未正式归因此次Drift攻击。最终判断需等待硬件设备鉴识完成。
结语
调查显示,第三方行动中使用的个人资料(Profiles)均经过精美包装,包含完整的工作经历、公开凭证和专业社交网络。Drift贡献者面谈的人员花了数月时间建立的人格特质,完全经得起商业尽职调查。
Drift仍在努力进行调查。分享此更新是为了帮助生态系降低风险。请务必检查您的团队,审计权限设置,并将每一个接触多签的设备视为潜在攻击目标。
我们非常感谢行业专家的鼎力相助,特别感谢@tayvano_,@tanuki42_,@pcaversaccio与@bax1337的专业协助。
若您的团队怀疑遭到相同团体的锁定,请立即联系@SEAL911。