事件概览
Drift官方确认,正在与执法机构及安全合作伙伴全面调查2026年4月1日发生的黑客攻击。目前所有协议功能已暂停,受影响钱包已从多签中移除,攻击者地址已被标记。
攻击手法:长达半年的渗透
安全公司Mandiant的初步调查显示,此次攻击是一次持续约6个月的有组织渗透行动:
- 伪装接触:自2025年秋季起,一批自称量化交易公司的人员在国际加密会议上接触Drift团队。
- 建立信任:在数月内通过持续沟通、线下会议及在平台投入超100万美元资金,逐步建立可信度。
- 专业背景:攻击者具备专业技术和交易知识,通过Telegram群组与团队长期讨论策略与产品整合。
入侵路径分析
攻击可能通过以下路径实施:
- 诱导团队成员克隆含有恶意代码的仓库。
- 诱骗下载伪装成钱包应用的测试程序。
- 利用当时已知的VSCode与Cursor编辑器漏洞,在后台执行恶意代码。
攻击发生后,相关聊天记录与恶意软件被迅速清除。
幕后组织关联
根据链上资金与行为模式分析,安全团队初步判断该行动与2024年Radiant Capital攻击事件背后的威胁组织有关,该组织被归因于朝鲜背景黑客团体(如UNC4736/AppleJeus)。值得注意的是,直接与团队接触的为第三方中间人,并非朝鲜籍人员。
安全警示
攻击者构建了完整的虚假身份与职业背景以获取信任。调查仍在进行中,团队呼吁行业加强设备安全审查与权限管理。
