漂移协议遭黑客攻击并非普通事件
此次造成约2.7亿美元损失的攻击被定性为“历时六个月精心策划的渗透行动”,幕后黑手指向朝鲜相关联的黑客组织。
根据漂移协议团队公开的事故报告,攻击始于2025年秋季一场大型加密货币会议。攻击者自称“量化交易企业”并提出合作意向。他们展现出高度的技术理解力,且背景经验可验证。随后数月间,双方通过电报频道持续进行策略讨论及金库整合协作,流程与常规去中心化金融入驻过程无异。
2025年12月至2026年1月期间,该组织直接参与漂移协议生态系统,存入超100万美元资金并运营“生态金库”,建立了实质活动基础。2月至3月,他们更在多地会议中与漂移相关人员直接会面。至4月1日攻击发生时,双方关系已持续近半年。
攻击经由双重路径实施
第一条路径针对开发者环境:攻击者通过共享GitHub仓库诱导内部代码审查,并在此过程中植入可执行恶意代码。其利用的漏洞疑似涉及VSCode与Cursor编辑器,该漏洞自2025年末便受安全界警告,仅打开文件或文件夹即可无预警执行代码,危害严重。
第二条路径通过移动端实施:攻击者利用苹果TestFlight平台分发钱包应用,部分用户安装后导致设备权限被盗。控制设备后,攻击者获取了多签批准权限。据漂移方透露,攻击者将预签名交易置于“待执行”状态超一周,最终于4月1日在一分钟内完成攻击,致使协议金库近2.7亿美元资金瞬间流失。
攻击手法升级:信任渗透与社会工程结合
此次攻击超越单纯漏洞利用,被视为“基于信任的长期渗透”与“社会工程手法”结合的典型案例。幕后组织UNC4736亦被称为AppleJeus或Citrine Sleet,其链上资金流向与过往 Radiant Capital攻击事件关联,且行为模式与已知朝鲜关联组织相似。
值得注意的是,会议中出现的攻击者身份并非朝鲜籍。报告指出,此类高级攻击组织常使用伪装身份的中间人进行操作。
行业反思安全模型
漂移协议呼吁各项目重新审视权限管理与设备安全,强调应将多签参与者的所有设备视为潜在攻击目标。此次事件对去中心化金融依赖的多签治理模型提出根本性质疑——若攻击者能长达六个月如真实组织般运作、投入资金并渗入生态内部,现有安全体系实难防范。
最终,这次黑客攻击警示业界:相较于技术漏洞,针对“人与信任”的攻击往往更为致命。
交易所
交易所排行榜
24小时成交排行榜
人气排行榜
交易所比特币余额
交易所资产透明度证明
去中心化交易所
资金费率
资金费率热力图
爆仓数据
清算最大痛点
多空比
大户多空比
币安/欧易/火币大户多空比
Bitfinex杠杆多空比
ETF追踪
索拉纳ETF
瑞波币ETF
比特币持币公司
加密资产反转
以太坊储备
HyperLiquid钱包分析
Hyperliquid鲸鱼监控
大额转账
链上异动
比特币回报率
稳定币市值
期权分析
新闻
文章
财经日历
专题
钱包
合约计算器
账号安全
资讯收藏
自选币种
我的关注