事件概述:一场精心策划的长期渗透

近日,知名去中心化金融协议Drift Protocol发布了一份关于其遭受重大安全攻击的详细调查报告。报告揭示,此次导致约2.85亿美元巨额损失的黑客事件,并非一次简单的技术漏洞利用,而是一场历时超过六个月、结合了线下社会工程与线上技术渗透的定向攻击。安全专家通过链上资金流向与攻击手法分析,高度确信此次事件的幕后黑手与2024年10月攻击Radiant Capital的组织为同一实体——被Mandiant追踪为UNC4736的朝鲜国家支持黑客组织。

攻击路径复盘:从线下会议到系统沦陷

第一步:建立可信身份与线下接触

攻击始于2025年秋季。在一次大型国际加密货币会议上,一群自称来自某量化交易公司的人员主动接触了Drift协议的贡献者。他们展现出精湛的专业知识,拥有经得起验证的职业背景,并对Drift的运作机制了如指掌。双方随后建立了通信群组,并在数月内围绕交易策略及金库集成进行了深入且看似正常的业务讨论。

第二步:深度嵌入与获取信任

从2025年底至2026年初,该团队正式在Drift协议上部署了一个生态金库。他们不仅按要求提交了详细的策略文件,还与多位核心贡献者进行了多次工作会议,提出了大量深入的产品问题。为了进一步取信于人,他们甚至向该金库注入了超过100万美元的自有资金,成功在生态内部构建了一个完整的“业务存在”。

第三步:利用信任实施渗透

在长达数月的合作期间,攻击者与Drift团队在多个国际会议上再次进行了面对面交流。此时,双方已建立起“合作伙伴”关系。攻击者趁机分享了声称是正在开发的项目工具链接,其中包含恶意代码仓库或伪装成钱包应用的TestFlight安装包。调查指出,贡献者可能在克隆代码仓库或下载应用时,设备被植入了恶意软件。

幕后黑手:UNC4736与朝鲜黑客网络

组织背景与归因依据

UNC4736是被网络安全公司Mandiant高置信度评估为隶属于朝鲜侦察总局(RGB)的威胁行为集群,也被称为AppleJeus或Citrine Sleet。此次归因基于两大证据:一是用于策划本次攻击的资金可追溯至Radiant Capital攻击事件的黑客地址;二是本次行动中使用的伪装身份与已知的朝鲜关联活动存在明显重叠。

攻击手法的演进

该组织自2018年起持续针对加密货币行业。其手法已从早期的直接漏洞利用,演变为复杂的长期行动,融合了:

  • 社会工程学:构建完整的虚假个人与职业履历,进行线下接触。
  • 供应链攻击:通过污染开源代码库或开发工具进行投毒。
  • 高级持久威胁(APT):进行长达数月的耐心渗透,逐步获取信任和访问权限。

值得注意的是,出现在线下会议中的个体并非朝鲜籍人员。这揭示了朝鲜高级别威胁行为者的典型策略:雇佣或利用第三方中间人在前线建立关系,自身则隐藏在幕后。

影响范围与行业警示

本次攻击波及超过20个关联协议,造成了不同程度的损失。除了Drift协议本身的巨额损失外,包括Prime Numbers Fi、Gauntlet在内的多个生态项目也遭受了数百万美元的牵连损失。
这一事件为整个Web3行业敲响了警钟。它表明攻击者的策略已经升级,不再满足于远程技术攻击,而是敢于进行线下、长期的定向情报搜集与渗透。安全研究员此前曾指出,有超过40个DeFi平台在不同阶段曾有过朝鲜IT工作者的参与痕迹。Drift事件证实,这种渗透已变得更为大胆和系统化。

安全建议与后续措施

Drift团队在事件发生后,迅速冻结了所有剩余协议功能,将被盗钱包从多签权限中移除,并协同各大交易所与跨链桥运营商对攻击者地址进行了标记。目前,完整的取证分析仍在进行中。
对于其他项目方与从业者,此事件凸显了以下安全必要性:

  1. 强化身份验证:对任何寻求深度技术整合的第三方,尤其是通过线下接触认识的,需实施极其严格的多因素身份背景调查。
  2. 代码与依赖项审计:对任何外部共享的代码仓库、工具或应用,必须在隔离环境中进行彻底的安全审计后方可交互。
  3. 安全意识培训:提升团队成员对社会工程学攻击的警惕性,特别是在参加行业会议等线下场景后。
  4. 最小权限原则:严格限制内部系统与数据的访问权限,即使对“合作伙伴”也应遵循此原则。

青岚个人视点

Drift Protocol被黑事件,堪称DeFi发展史上一个标志性的“战术转折点”。它残酷地揭示了,在数字资产的世界里,攻击已从“代码战争”升级为“人性战争”。黑客组织花费半年时间,像创业公司一样打磨一个虚假的“量化团队”人设,进行线下路演、建立信任、甚至投入真金白银作为诱饵,其耐心与专业程度令人不寒而栗。这已不是简单的盗窃,而是一场由国家力量支持的、融合了情报搜集、心理博弈和精准打击的混合行动。它给所有Web3建设者上了一课:最坚固的智能合约,也可能从最脆弱的“人际信任”环节被攻破。未来,项目的安全护城河,必须将“人的因素”纳入核心防御体系,建立从线上到线下的全方位风控意识,否则,任何技术层面的完美都可能功亏一篑。


🔥 这篇深度分析够不够劲?群里还有更多加密专题干货!

想跟志同道合的朋友一起聊趋势?赶紧进群→青岚免费交易社群 (电报)

💡 感谢阅读

1、市场风云变幻,以上仅为青岚姐个人的复盘与思考,不作为任何投资建议。在加密市场的长跑中,比起预测,更重要的是执行——请务必管好仓位,严带止损,愿我们且行且珍惜,在每一轮波动中稳健前行!

2、关于如何合理设置止盈止损,请点这里查看青岚姐的教程。

3、本文由青岚加密课堂整理优化,如需转载请注明出处。