根據團隊週日較早發布的一份詳盡事件更新,這起針對 Drift Protocol 的 2.7 億美元資金外洩事件,前面已進行了一場長達六個月的情報行動,且是由一個與北韓國家有關聯的團體所執行。
攻擊者首先在 2025 年秋季左右於一場大型加密貨幣會議上取得聯繫,並以一家量化交易公司自我介紹,表示希望與 Drift 整合。
Drift 表示,這些人技術上相當嫻熟,具有可驗證的專業背景,並了解該協定如何運作。團體成立了一個 Telegram 群組,此後所發展出來的是數月來圍繞交易策略與金庫整合的實質對話——這種互動是交易公司接觸 DeFi 協定時的標準流程。
在 2025 年 12 月至 2026 年 1 月期間,該團體在 Drift 上完成了 Ecosystem Vault 的上線,與貢獻者進行多次工作會議,投入自有資本超過 100 萬美元,並在生態系內建立起可運作的營運存在。
到 2 月與 3 月期間,Drift 的貢獻者已在多個跨數國舉辦的主要產業會議上與該團體成員面對面交流。當 4 月 1 日攻擊發動時,這段關係已接近半年的時間。
看起來此次遭攻破可能來自兩個途徑。
第二個途徑是下載了一款 TestFlight 應用程式——蘋果用於分發預先推出應用的平臺,可繞過 App Store 的安全性審查;該團體把它包裝成自己的錢包產品。
在程式庫的途徑方面,Drift 指出一個已知的 VSCode 與 Cursor 漏洞,這兩者是軟體開發中使用最廣泛的兩款程式碼編輯器。該漏洞自 2025 年下半年起就已被資安社群持續標記:只要在編輯器中單純打開檔案或資料夾,就足以在未經提示或警告的情況下,悄然執行任意程式碼。
當裝置被攻破後,攻擊者就已取得執行 CoinDesk 本週稍早詳述之「持久性 nonce 攻擊」所需的兩項多重簽名(multisig)核准。這些事先簽署好的交易在被執行前沉睡了超過一週,直到 4 月 1 日才啟動;在不到一分鐘內,從該協定的金庫中耗走 2.7 億美元。
歸因指向 UNC4736——一個與北韓國家有關聯的團體;其也同樣被追蹤為 AppleJeus 或 Citrine Sleet。這可根據兩方面判斷:其資金在鏈上流向可追溯至 Radiant Capital 的攻擊者,以及其作業重疊於已知與 DPRK 相關的身分型人格。
然而,出席會議並親自現身的個人並非北韓國民。處於這種層級的 DPRK 威脅行為者,已知會部署使用第三方中介的人員,這些人具有完整建構的身分、就業履歷,以及為了能夠承受盡職調查而打造出來的專業人脈網絡。
Drift 呼籲其他協定審查存取控制,並將任何觸及多重簽名(multisig)的裝置都視為潛在目標。更廣泛的含意,對仰賴以多重簽名治理作為主要安全模型的產業而言令人不安。
但如果攻擊者願意花六個月、耗資一百萬美元在生態系內建立合法的存在、與團隊親自見面、投入真正的資金並耐心等待,那麼問題在於:究竟哪一種安全模型被設計用來偵測這一切?
