依然难以理解,为何服务海量用户的协议仍会沦为精心陷阱的猎物。Drift Protocol 近期遭遇的黑客攻击,只是层出不穷的网络攻击中的最新一幕——此类攻击常由朝鲜臭名昭著的 Lazarus 组织及其分支策划——数字资产失窃规模已达数十亿美元。此次最新漏洞令投资者震惊,并再度引发对即使是领先项目亦难逃安全漏洞困扰的担忧。
攻击者如何突破防线
此次攻击发生于 4 月 1 日,起初被部分人视为愚人节玩笑,但 Drift 团队严肃的声明迅速驱散了所有疑虑。尽管协议要求使用多签钱包作为基本安全措施,攻击者仍有条不紊地收集了所需数量的签名,清空了协议控制的钱包。作为应对,所有协议功能已被冻结,受影响的钱包也从多签系统中移除。网络安全公司 Mandiant 已对此事件展开调查。
攻击者通过线下接触建立信任
值得注意的是,此次漏洞的基础早在数月前就已埋下。据信,攻击者(疑似来自朝鲜)于 2025 年秋季在一场大型加密会议上首次接触 Drift 团队,并伪装成交易公司代表表达了合作意向。在随后的六个月里,这些人员在不同国家的多个行业会议中反复与 Drift 员工进行面对面会晤。这种持续且个人的接触为其身份披上了合法外衣,并加深了信任程度。
以往,攻击者多利用社交媒体或人工智能视频通话进行社交工程。如今,他们越来越多地能够进行线下接触,且令人警觉的是,他们拥有科技领域可信的背景。经过验证的专业履历使得 Drift 这类团队更难识破骗局。
初步建立联系后,攻击者通过 Telegram 组织了群聊,并在数月内就交易策略及可能的金库集成进行了广泛讨论。根据 Drift 的最新报告,“在 2025 年 12 月至 2026 年 1 月期间,该组织集成至 Drift 内的一个生态金库,这需要提交包含战略细节的表格。通过多次工作会议,他们与贡献者互动,提出极其详尽且专业的技术问题,并投入了超过一百万美元的自有资金。他们刻意且耐心地在 Drift 生态内建立了业务足迹。”集成讨论持续至 2026 年 2 月和 3 月。Drift 参与者在多个主要行业活动中与该组织成员面对面会晤。至此,这种关系已维持近半年。他们并非陌生人,而是 Drift 参与者曾共同工作并亲身会面过的人。
转折点:利用技术信任
在整个过程中,攻击者定期与团队共享文件、链接及所谓的项目资源。尽管私钥具体何时泄露尚不明确,但大量的文件传输和共享链接为渗透提供了便利。在网络安全领域,诸如 FUD(完全不可检测)和“捆绑器”等术语指代隐藏恶意文件的方法。FUD 对病毒进行加密,使杀毒程序暂时无法识别——通常为期两周至一个月,除非上传至在线扫描器,这可能缩短窗口期。随后使用捆绑工具,恶意软件被伪装成 PDF、PNG 或 JPEG 文件;打开看似无害的文件即可在后台激活病毒。对于 Word 或 Excel 等格式,还存在更高级的技术。这些方法如此普遍,即便是普通黑客也能执行,凸显了提高警惕的重要性;类似攻击在涉及个人投资者的情况下往往未被报道。
基于文件的恶意软件只是可能的攻击媒介之一,它能让攻击者完全控制受影响的设备。窃取私钥有多种途径,Drift 团队怀疑以下三种潜在媒介之一被利用:某位团队成员可能在“前端部署”的幌子下克隆了共享的恶意代码库;另一位员工可能被说服下载了该组织展示为其自有钱包产品的 TestFlight 应用程序;或是源于一个已知的 VSCode 和 Cursor 编辑器漏洞的代码库攻击,该漏洞在 2025 年 12 月至 2026 年 2 月期间未被修复。正如安全研究人员当时所指出的,打开文件或代码库将在没有任何警告或提示的情况下静默执行任意代码。
此类攻击甚至可利用零日漏洞,使得检测近乎不可能。事实上,Drift 团队是在其协议资金已被窃取后才发现了漏洞——这已是初始入侵发生数天甚至数周之后。
幕后操纵者是谁?
根据事件报告:“基于 SEALS 911 团队的调查,并有中等到高度的把握,据信此次行动与 Mandiant 确认为 2024 年 10 月 Radiant Capital 攻击负责的威胁行为者为同一伙,其追踪编号为 UNC4736。UNC4736(亦称为 AppleJeus 或 Citrine Sleet)与朝鲜有关联。这一归因得到了链上证据(与 Radiant 攻击者相关的资金轨迹)和操作模式的支持,因为涉及的人物角色与其他已知的朝鲜相关活动相关联。需注意的是,参与线下会议的人员并非朝鲜国民。相反,已有充分证据表明,此等水平的朝鲜威胁行为者利用第三方中介来促成面对面互动。Mandiant 尚未正式将 Drift 漏洞归因于任何组织。最终归因将取决于对受影响设备的持续取证分析。”
启示与警示
Drift 团队使用隔离设备进行通信的做法可能避免了更大的损失;倘若恶意文件在核心服务器上被打开,协议价值 2.85 亿美元的全部资产可能均已失窃。部分团队成员未意识到自己已被入侵的事实,引发了关于加密初创公司整体运营标准的不安疑问。这一深刻教训强化了定期进行安全审计、渗透测试以及在每次合作中保持适度怀疑的必要性。
最终,威胁不仅限于大型协议;即使是普通投资者也可能成为下一个目标。在加密货币这片不确定的领域,人们必须在谨慎与暴露之间做出抉择——往往只有那些优先考虑稳健防护措施的人,才能避免成为下一个新闻头条。
交易所
交易所排行榜
24小时成交排行榜
人气排行榜
交易所比特币余额
交易所资产透明度证明
去中心化交易所
资金费率
资金费率热力图
爆仓数据
清算最大痛点
多空比
大户多空比
币安/欧易/火币大户多空比
Bitfinex杠杆多空比
ETF追踪
索拉纳ETF
瑞波币ETF
比特币持币公司
加密资产反转
以太坊储备
HyperLiquid钱包分析
Hyperliquid鲸鱼监控
大额转账
链上异动
比特币回报率
稳定币市值
期权分析
新闻
文章
财经日历
专题
钱包
合约计算器
账号安全
资讯收藏
自选币种
我的关注