朝鲜团体遭指责：Drift Protocol精心策划的2.85亿美元漏洞历时六个月_新闻

免责声明：内容不构成买卖依据，投资有风险，入市需谨慎！

朝鲜团体遭指责：Drift Protocol精心策划的2.85亿美元漏洞历时六个月

2026-04-06 19:45:00

2026年4月1日攻击事件概述

2026年4月1日，基于Solana的Drift协议遭受攻击，损失约2.85亿美元。经初步调查，此次事件并非突发性攻击，而是一场至少策划了六个月的结构化情报行动。调查方以中高置信度将行动归因于UNC4736，这是一个与朝鲜有关联的威胁组织，亦被追踪为AppleJeus或Citrine Sleet。

攻击是如何开始的？

据Drift团队透露，行动始于2025年秋季的一场大型加密货币会议。当时，自称来自一家量化交易公司的人员主动接触了Drift的贡献者。这并非一次快速的钓鱼尝试，而是一场持续数月、跨越多个国家及行业会议的关系建立活动。

该组织技术熟练，拥有可验证的专业背景，并对Drift的运作方式表现出深入了解。首次会面后，双方建立了Telegram群组，并就交易策略和保险库集成等议题进行了数月的实质性讨论。Drift团队指出，这些互动与合法交易公司通常的接触模式完全一致。

从2025年12月到2026年1月，该组织在Drift上成功部署了一个生态系统保险库。整个过程包括通过正式表格提交策略详情、与Drift贡献者进行多轮工作会议，并存入超过100万美元的自有资金。他们耐心而谨慎地在协议内部建立了一个可运作的实体。

攻击前的最后阶段

整合对话持续至2026年2月和3月。Drift贡献者再次在大型行业活动中与该组织成员进行了线下会面。到4月时，双方关系已建立近六个月。此时，攻击者已非陌生人，而是与Drift团队多次并肩工作并面对面交流的对象。

在此期间，该组织分享了他们声称正在开发的项目、工具和应用程序链接。此类资源共享在交易公司关系中属常规做法，这也恰恰使其成为有效的攻击投送渠道。

技术攻击向量分析

4月1日攻击发生后，Drift对受影响的设备、账户及通信记录进行了取证审查。攻击发生时，该组织使用的Telegram聊天记录和恶意软件已被立即清除。调查确定了三种可能的入侵途径：

一名贡献者在克隆该组织共享的代码仓库后可能已遭入侵，该仓库被伪装为其保险库的前端部署工具。

另一名贡献者被诱导下载了该组织描述为钱包产品的TestFlight应用程序。TestFlight是苹果公司用于公开发布前分发iOS应用测试版的平台。

对于基于代码仓库的攻击向量，其可能利用了VSCode和Cursor代码编辑器中的一个已知漏洞。在2025年12月至2026年2月期间，安全研究人员已多次标记该漏洞。在受影响的编辑器中打开文件、文件夹或仓库即可静默执行任意代码，且不会向用户显示任何提示、警告或权限对话框。

截至报告发布时，对受影响硬件的全面取证分析仍在进行中。

攻击执行速度

尽管策划耗时六个月，但攻击执行极为迅速。一旦取得协议管理权限，攻击者在不到12分钟内即转移了真实用户资金。Drift的总锁定价值在一小时内从约5.5亿美元骤降至3亿美元以下。DRIFT代币价格在事件期间下跌超40%。安全公司PeckShield确认总损失超过2.85亿美元，占当时协议总锁定价值的50%以上。

事件期间，Drift团队通过社交平台澄清情况称：“这不是愚人节玩笑。在获得进一步通知前，请保持谨慎。”调查启动后，所有存款和取款功能均已暂停。

资金流向追踪

攻击得手后，攻击者迅速采取了资金路径隐蔽措施。被盗资产被转换为USDC和SOL，随后通过Circle的跨链传输协议从Solana桥接至以太坊。CCTP是Circle的原生桥接基础设施，允许USDC在不同区块链间直接转移而无需封装。在以太坊上，资金被进一步转换为ETH。链上追踪确认攻击者最终积累了129,066枚ETH，当时价值约2.73亿美元。

攻击者还将部分SOL存入HyperLiquid和Binance等平台，通过分散操作增加了追踪难度。

攻击幕后组织

基于中高置信度，并得到安全调查团队的支持，Drift调查认为此次行动与2024年10月Radiant Capital攻击事件的幕后组织相同。该次攻击已被正式归因于UNC4736，即朝鲜背景的黑客组织。

判断依据包括链上数据与操作模式两个方面。用于策划和测试Drift攻击的资金流可追溯至与Radiant攻击者相关的钱包。此外，在Drift攻击活动中使用的人物角色，与已知的朝鲜关联活动模式存在可识别的重叠。

Drift团队特别澄清：在会议上露面的人员并非朝鲜公民。在此级别的行动中，朝鲜关联威胁行为者通常派遣第三方中间人处理面对面关系建立，使实际操作人员保持距离。

目前Mandiant已正式参与调查，但尚未对Drift攻击事件发布官方归因结论。该结论需要待设备取证工作全部完成后才能确定。

当前应对措施

截至报告发布，Drift已采取以下步骤：冻结协议所有剩余功能；从多签钱包中移除受入侵的钱包；在交易所和桥接运营商处标记攻击者钱包；聘请Mandiant作为主要取证合作伙伴。

Drift表示，公开这些细节是为了让生态中的其他团队了解此类攻击的真实面貌，并据此采取自我保护措施。

事件启示

Drift协议攻击事件并非一个代码漏洞逃过审计的故事，而是一场持续的人际欺骗。攻击者通过线下会议、可运作的保险库集成以及超百万美元的自有资金存款，耗费六个月建立信誉，最终在12分钟内转移了2.85亿美元。

恶意代码仓库和伪造TestFlight应用之所以能成功，正是因为打开它们所需的信任关系已被精心构筑。对于DeFi协议而言，教训是直接的：攻击面不仅限于智能合约，还包括每位贡献者的设备、每个第三方代码仓库以及在行业会议中建立的每段关系。

UNC4736现已两次演示了这种攻击模式：第一次是2024年10月的Radiant Capital攻击，第二次便是2026年4月的Drift攻击，每次都采用了同样的耐心且资源充足的策略。

免责声明：

本网站、超链接、相关应用程序、论坛、博客等媒体账户以及其他平台和用户发布的所有内容均来源于第三方平台及平台用户。百亿财经对于网站及其内容不作任何类型的保证，网站所有区块链相关数据以及其他内容资料仅供用户学习及研究之用，不构成任何投资、法律等其他领域的建议和依据。百亿财经用户以及其他第三方平台在本网站发布的任何内容均由其个人负责，与百亿财经无关。百亿财经不对任何因使用本网站信息而导致的任何损失负责。您需谨慎使用相关数据及内容，并自行承担所带来的一切风险。强烈建议您独自对内容进行研究、审查、分析和验证。

展开阅读全文