最初看似突发的攻击事件,现已被揭露为一场长期且高度协调的行动。Drift Protocol 披露,这起价值 2.7 亿美元的黑客攻击是六个月渗透活动的结果,据称与朝鲜国家相关行为者有关。
攻击者并非利用简单的漏洞,而是缓慢建立信任,伪装成合法的量化交易公司并渗透到生态系统中。他们的手法超越了数字欺骗。他们直接与贡献者接触,参加加密货币会议,并在各个层面建立看似可信的关系。
这不是一次速战速决的攻击。它是经过精心计算、耐心策划的,旨在绕过的不仅是技术防御,还有人类信任。
首次接触始于加密货币会议
据报道,该行动始于 2025 年秋季,当时攻击者在一个大型加密货币会议上首次接触。当时没有出现明显的警示信号。该团体将自己呈现为技术精通、背景可验证的专业人士。
他们流利地使用 DeFi 语言,展示了对 Drift 基础设施和交易机制的深入理解。这种专业水平帮助他们与合法贡献者和合作伙伴无缝融合。
不久后,沟通转移到 Telegram,讨论持续了数月。这些互动既不仓促也不可疑。相反,它们反映了真实合作的节奏,包括技术讨论、战略意见和持续参与。
通过保持一致性和可信度,攻击者逐渐在社区中建立了信任。
通过资金和协作建立信任
到 2026 年 1 月,该团体进一步加深了参与。他们成功加入了一个生态系统金库,并开始与 Drift 贡献者一起参加工作会议。
关键的是,他们还投入了真实资金,将超过 100 万美元的自有资金存入协议。这一举动强化了他们的合法性,表明他们真正参与其中。
整个 2 月和 3 月期间,Drift 生态系统的成员在多个国家与这些人进行了面对面会面。这些面对面的互动增加了另一层信任,使他们的意图更不可能受到质疑。
到攻击执行时,攻击者与社区之间的关系已经建立了近六个月。这是 DeFi 攻击中罕见的渗透程度。
攻击执行利用了复杂的切入点
当攻击最终发生时,它通过两个高度针对性的途径进行。
第一个涉及一个恶意的 TestFlight 应用程序,伪装成合法的钱包产品。这使攻击者能够以测试新工具为名获取贡献者设备的访问权限。
第二个途径利用了 VSCode 和 Cursor 等开发环境中的已知漏洞。这个漏洞在数月前就被安全社区标记,仅通过打开文件就能执行任意代码。
这些方法结合起来,使攻击者能够在不引起立即怀疑的情况下攻陷关键设备。一旦进入,他们就能访问敏感的工作流程和审批机制。
这一阶段的行动突显了攻击策略的关键转变。攻击者不再直接针对智能合约,而是越来越多地关注围绕智能合约的人员和工具层面。
多重签名弱点在最终盗取中暴露
在获得访问权限后,攻击者进入了最后阶段:执行。
他们获得了两个多重签名批准,然后用于授权交易。值得注意的是,这些交易是预先签署的,并保持休眠状态超过一周,避免了立即检测。
4 月 1 日,攻击者采取了行动。在不到一分钟的时间内,约 2.7 亿美元从 Drift 的金库中被盗走。
执行的速度和精确性几乎没有留下干预的空间。当交易被识别时,资金已经被转移。
Drift 此后警告称,此事件暴露了基于多重签名的安全模型的根本弱点。虽然多重签名系统旨在分散信任,但当签名者本身被攻陷时,它们仍然容易受到攻击。
与朝鲜国家行为者的联系浮出水面
对该攻击的调查已将该行动与 UNC4736 联系起来,该团体也被称为 AppleJeus 或 Citrine Sleet。该实体被广泛认为与朝鲜网络行动有关,并与之前的高调攻击有关,包括 Radiant Capital 攻击。
有趣的是,与 Drift 贡献者直接互动的个人并未被识别为朝鲜国民。相反,他们似乎是第三方中介,配备了精心构建的身份,旨在经受审查。
这种分层方法使归因更加复杂,同时提高了行动的有效性。通过将现场行为者与协调实体分离,攻击者能够在整个渗透过程中保持看似合理的合法性。
DeFi 安全模型的警钟
Drift 攻击事件迫使行业面对一个令人不安的现实。专注于代码审计、智能合约漏洞和多重签名保护的传统安全模型,可能不足以防御愿意投入时间、金钱和人力资源的对手。
如果攻击者可以花六个月时间建立关系,部署资金来获得信任,并与团队进行实际会面,那么攻击面就远远超出了代码范围。
这为 DeFi 生态系统提出了一个关键问题:什么样的安全框架能够检测和防止这种程度的渗透?
目前,该事件是加密货币历史上最复杂的社会工程驱动攻击之一。它强调了需要更全面的安全方法,一种考虑到人类行为、运营流程以及在线和离线互动之间日益模糊界限的方法。
随着协议继续增长并吸引更多资金,风险只会上升。正如本案例所示,下一代攻击可能不会来自匿名钱包,而是来自坐在谈判桌对面的可信合作伙伴。
免责声明:这不是交易或投资建议。在购买任何加密货币或投资任何服务之前,请务必进行自己的研究。
在 Twitter 上关注我们 @nulltxnews 以获取最新的加密货币、NFT、AI、网络安全、分布式计算和 元宇宙新闻!
来源: https://nulltx.com/north-korea-linked-group-behind-270m-drift-hack-six-month-plot-revealed/
