Drift Protocol (DRIFT) 于4月5日发布了详细的事件更新,透露4月1日发生的2.85亿美元漏洞利用是朝鲜国家支持的行为者进行了六个月情报行动的结果。
该披露描述了一种远超典型网络钓鱼或招聘诈骗的社会工程手段,涉及面对面会议、真实资金部署以及数月的信任建立。
玩长期游戏的假冒交易公司
据Drift称,一个伪装成量化交易公司的团体首次在2025年秋季的一个主要加密货币会议上接触了贡献者。
在接下来的几个月里,这些人出现在多个国家的多场活动中,举行工作会议,并通过Telegram持续讨论金库集成问题。
在X上关注我们以获取最新消息
在2025年12月至2026年1月期间,该团体在Drift上加入了一个生态系统金库,存入超过100万美元的资金,并参与了详细的产品讨论。
到3月份,Drift贡献者已多次与这些人面对面会面。
即使是网络安全专家也对此感到担忧,研究员Tay分享说,她最初预期这是典型的招聘诈骗,但发现该行动的深度远比想象中更令人震惊。
设备如何被入侵
Drift确定了三种可能的攻击载体:
- 一名贡献者克隆了该团体为金库前端共享的代码库。
- 第二名贡献者下载了一个被宣传为钱包产品的TestFlight应用程序。
- 对于代码库载体,Drift指出了自2025年底以来安全研究人员一直标记的已知VSCode和Cursor漏洞。
该漏洞允许在编辑器中打开文件或文件夹的瞬间静默执行任意代码,无需用户交互。
4月1日资金被盗后,攻击者清除了所有Telegram聊天记录和恶意软件。Drift此后冻结了剩余的协议功能,并从多重签名中移除了被入侵的钱包。
SEALS 911团队以中高置信度评估,同一威胁行为者实施了2024年10月的Radiant Capital黑客攻击,Mandiant将其归因于UNC4736。
链上资金流动和两次攻击行动之间的运作重叠支持了这一联系。
行业呼吁重置安全措施
知名Solana开发者Armani Ferrante呼吁每个加密货币团队暂停增长工作,审计其整个安全体系。
Drift指出,亲自出现的人员并非朝鲜国民。这一级别的朝鲜威胁行为者已知会部署第三方中介进行面对面接触。
Drift聘请的Mandiant进行设备取证,尚未正式归因该漏洞利用。
该披露为更广泛的生态系统提供了警告。Drift敦促团队审计访问控制,将每个接触多重签名的设备视为潜在目标,如果怀疑遭受类似攻击,请联系SEAL 911。
该文章 Drift Protocol的2.85亿美元盗窃案始于握手和6个月的信任 首次出现在BeInCrypto。
来源: https://beincrypto.com/drift-north-korea-spy-operation-hack/
