一項為期六個月的情報行動,先於「Drift Protocol」的 2.7 億美元漏洞利用(exploit),而該行動是由一個與北韓政府有關聯的團體執行。這項說法來自團隊先前於週日發布的一份詳細事故更新。
根據報導,攻擊者最初大約在 2025 年秋季於一場大型加密貨幣會議上取得聯繫,並以量化交易公司的身分自我介紹,表示希望與 Drift 整合。
Drift 表示,這些攻擊者在技術上十分熟練,擁有可驗證的專業背景,也理解該協定的運作方式。團隊建立了一個 Telegram 群組,其後的數月內容則是圍繞交易策略與金庫(vault)整合的實質性討論;這類互動正是交易公司導入 DeFi 協定時的標準流程。
在 2025 年 12 月至 2026 年 1 月期間,該團體在 Drift 上導入一個生態系金庫(Ecosystem Vault),並與貢獻者舉行多次工作會議,存入超過 100 萬美元的自有資金,且在該生態系內建立了可運作的實際營運存在。
截至 2 月與 3 月之間,Drift 的貢獻者曾在多個國家、數場主要產業會議上與該團體成員進行面對面接觸。到 4 月 1 日攻擊啟動時,雙方關係已將近半年前。
此次遭到入侵(compromise)似乎透過兩個途徑發生。
另一個途徑是:下載了 TestFlight 應用程式——蘋果用於分發預先發布(pre-release)應用的平臺,能繞過 App Store 的安全性審查;而該團體將其宣稱為他們的錢包產品。
至於儲存庫(repository)途徑,Drift 指向 VSCode 與 Cursor 的一項已知弱點——這兩者是軟體開發領域中使用最廣泛的程式碼編輯器之一——而安全社群自 2025 年下半年以來一直在提及:只要在編輯器中單純打開檔案或資料夾,就足以在不出現任何提示或警告的情況下,悄然執行任意程式碼。
一旦裝置遭到入侵,攻擊者就已掌握取得可持久化 nonce 攻擊所需的兩次多重簽名(multisig)核准的必要條件;該攻擊是 CoinDesk 於本週早些時候詳述的。這些預先簽署的交易在執行前沉睡逾一週,直到 4 月 1 日才啟動;攻擊者在不到一分鐘的時間內,從該協定的金庫(vaults)中抽走 2.7 億美元。
歸因指向 UNC4736:一個與北韓政府有關聯的團體,也被另一名稱追蹤為 AppleJeus 或 Citrine Sleet。這項判斷根據鏈上資金流向的追溯,指向同樣出自 Radiant Capital 的攻擊者;同時,在作業層面上也與已知與 DPRK 相關的特定身分(personas)出現重疊。
然而,在會議上親自現身的人士並非北韓國民。到這個層級的 DPRK 威脅行為者已被認知為會部署第三方中介,而這些中介具備完整建構的身分、就業履歷與專業人脈,以便能夠承受盡職調查(due diligence)。
Drift 呼籲其他協定審查存取控制,並將任何接觸多重簽名的裝置都視為潛在目標。對於依賴多重簽名治理作為主要安全模型的產業而言,更廣泛的含意令人不安。
但如果攻擊者願意花費六個月、投入 100 萬美元,在生態系內建立看似合法的存在,與團隊親自見面、投入真正的資金,並且等待——那麼,這到底是什麼樣的安全模型被設計用來攔截或偵測這一切。
