Drift Protocol 安全事件背景详解

driftprotocol
发布于 11小时前
阅读 27

本文披露了 Drift Protocol 遭受的一场精密且长期的社会工程学攻击背景。攻击者通过长达六个月的身份伪装建立信任，利用恶意代码库和 VSCode 漏洞实施渗透，初步调查指向与朝鲜相关的黑客组织，旨在提醒加密生态系统警惕类似的组织化威胁。

Drift 正在与执法部门、取证伙伴及生态系统团队紧密合作，以全面还原 4 月 1 日 Exploit 事件的真相。

随着调查的深入，关于 Attack Vector 及该行动如何策划的更多细节现已可以公开。Drift 分享这些信息，是希望生态系统中的其他团队能够了解此类攻击的真实面貌，并据此保护自己。为了保护正在进行的调查的完整性，部分细节仍保持在高层级描述。

## 当前状态

所有剩余的协议功能已被冻结，受损钱包已从 Multisig 中移除。攻击者钱包已在各大交易所和跨链桥运营商处被标记。

Mandiant 已受邀参与此次调查。

## 蓄谋已久的攻击：长达六个月的筹备

初步调查显示，Drift 遭遇了一场结构化的情报行动，这需要组织背景、大量资源以及数月的刻意准备。

### 早期接触与信任建立
在 2025 年秋季左右，Drift 的贡献者在一次大型加密货币会议上遇到了一群人，他们自称是一家寻求在协议上进行集成的量化交易公司。现在看来，这是一个有针对性的接近过程。在接下来的六个月里，该团伙成员在多个国家的多次重大行业会议上，刻意寻找并接触特定的 Drift 贡献者。

他们技术流利，拥有可验证的专业背景，并且熟悉 Drift 的运作方式。在第一次见面后，双方建立了一个 Telegram 群组，随后进行了数月关于交易策略和潜在 Vault 集成的实质性对话。这些互动与交易公司与 Drift 互动和入驻的典型方式完全一致。

### 深度渗透
从 2025 年 12 月到 2026 年 1 月，他们在 Drift 上入驻了一个 Ecosystem Vault，这需要填写包含策略细节的表格。他们通过多次工作会议与多位贡献者接触，提出了详细且专业的专业产品问题，并存入了超过 100 万美元的自有资金。他们在 Drift 生态系统内部刻意且耐心地建立了一个运作良好的业务存在。

集成对话在 2026 年 2 月和 3 月持续进行。多位 Drift 贡献者在多次重大行业会议上再次与该团伙成员面对面会面。到那时，这段关系已经维持了近半年。他们不再是陌生人，而是 Drift 贡献者共事过并亲身见过面的人。

在此期间，他们分享了声称正在构建的项目、工具和应用程序的链接，这对于交易公司来说是标准做法。

### 攻击爆发
在 4 月 1 日 Exploit 发生后，团队对已知的受影响设备、账户和通信历史进行了彻底的取证审查。与该交易团伙的互动被确定为可能的入侵向量。就在 Exploit 发生时，他们的 Telegram 聊天记录和恶意软件已被完全清除。

调查仍在进行中，这些发现是初步的，分享出来旨在为社区提供现有的最佳信息。

## 渗透的潜在机制

我们认为可能存在三个 Attack Vectors：

*   **Repository 向量：** 一名贡献者在克隆该团伙分享的 Repository（名义上是为其 Vault 部署前端）后可能受到侵害。
*   **移动端应用向量：** 第二名贡献者被诱导下载了一个 TestFlight 应用程序，该团伙将其伪装成其钱包产品。
*   **编辑器漏洞：** 对于基于 Repository 的向量，一种可能性是安全社区在 2025 年 12 月至 2026 年 2 月期间积极标记的已知 VSCode 和 Cursor 漏洞。只需在编辑器中打开文件、文件夹或 Repository，就足以静默执行任意代码，无需任何提示、点击、权限对话框或任何形式的警告。完整的技术披露可以在 [此处](https://x.com/pcaversaccio/status/2009931485202055168) 找到。

受影响硬件的完整取证分析正在进行中，更多细节将会分享。

## 攻击者溯源

根据 SEAL 911 团队调查的支持，我们以中高置信度评估认为，此次行动是由负责 2024 年 10 月 Radiant Capital 黑客攻击的同一威胁行为者实施的。Mandiant 将该组织归类为 UNC4736，这是一个与 DPRK 有关联的组织，也被追踪为 AppleJeus 或 Citrine Sleet。

这一关联的依据包括：
*   **链上数据：** 用于策划和测试此次行动的资金流向可以追溯到 Radiant 攻击者。
*   **行动模式：** 此次行动中部署的人员角色与已知的受 DPRK 关联的活动有明显的重叠。

需要注意的是，亲自露面的人员并非 DPRK 国民。已知该级别的 DPRK 威胁行为者会部署第三方中介来进行面对面的关系建立。

Mandiant 尚未正式对此次 Drift Exploit 进行归因。该结论需要完成正在进行的设备取证。

## 结论

调查显示，在此次第三方针对性行动中使用的个人资料具有完整构建的身份，包括就业历史、公开凭证和专业网络。Drift 贡献者亲身见到的人员似乎花了数月时间构建个人和职业形象，这些形象足以经受住业务或交易对手关系的审查。

Drift 仍在进行调查。分享此更新是为了帮助生态系统降低风险。请检查你的团队，审计谁拥有什么权限，并将每一个接触 Multisig 的设备都视为潜在目标。

Drift 很幸运能够得到行业内顶尖专家的支持。衷心感谢 @tayvano_、@tanuki42_、@pcaversaccio 和 @bax1337，感谢他们在识别这些恶意行为者时提供的专业知识和慷慨相助。

如果你的团队认为可能受到了同一组织或类似行动的针对，请立即联系 @SEAL911。他们最有能力处理活跃威胁和受损的基础设施。

随着调查的发展，我们将分享更多信息。

>- 原文链接： [x.com/driftprotocol/stat...](https://x.com/driftprotocol/status/2040611161121370409)
>- 登链社区 AI 助手，为大家转译优秀英文文章，如有翻译不通的地方，还请包涵～

Drift 正在与执法部门、取证伙伴及生态系统团队紧密合作，以全面还原 4 月 1 日 Exploit 事件的真相。

当前状态

所有剩余的协议功能已被冻结，受损钱包已从 Multisig 中移除。攻击者钱包已在各大交易所和跨链桥运营商处被标记。

Mandiant 已受邀参与此次调查。

蓄谋已久的攻击：长达六个月的筹备

初步调查显示，Drift 遭遇了一场结构化的情报行动，这需要组织背景、大量资源以及数月的刻意准备。

早期接触与信任建立

在 2025 年秋季左右，Drift 的贡献者在一次大型加密货币会议上遇到了一群人，他们自称是一家寻求在协议上进行集成的量化交易公司。现在看来，这是一个有针对性的接近过程。在接下来的六个月里，该团伙成员在多个国家的多次重大行业会议上，刻意寻找并接触特定的 Drift 贡献者。

深度渗透

从 2025 年 12 月到 2026 年 1 月，他们在 Drift 上入驻了一个 Ecosystem Vault，这需要填写包含策略细节的表格。他们通过多次工作会议与多位贡献者接触，提出了详细且专业的专业产品问题，并存入了超过 100 万美元的自有资金。他们在 Drift 生态系统内部刻意且耐心地建立了一个运作良好的业务存在。

在此期间，他们分享了声称正在构建的项目、工具和应用程序的链接，这对于交易公司来说是标准做法。

攻击爆发

在 4 月 1 日 Exploit 发生后，团队对已知的受影响设备、账户和通信历史进行了彻底的取证审查。与该交易团伙的互动被确定为可能的入侵向量。就在 Exploit 发生时，他们的 Telegram 聊天记录和恶意软件已被完全清除。

调查仍在进行中，这些发现是初步的，分享出来旨在为社区提供现有的最佳信息。

渗透的潜在机制

我们认为可能存在三个 Attack Vectors：

Repository 向量： 一名贡献者在克隆该团伙分享的 Repository（名义上是为其 Vault 部署前端）后可能受到侵害。
移动端应用向量： 第二名贡献者被诱导下载了一个 TestFlight 应用程序，该团伙将其伪装成其钱包产品。
编辑器漏洞： 对于基于 Repository 的向量，一种可能性是安全社区在 2025 年 12 月至 2026 年 2 月期间积极标记的已知 VSCode 和 Cursor 漏洞。只需在编辑器中打开文件、文件夹或 Repository，就足以静默执行任意代码，无需任何提示、点击、权限对话框或任何形式的警告。完整的技术披露可以在此处找到。

受影响硬件的完整取证分析正在进行中，更多细节将会分享。

攻击者溯源

这一关联的依据包括：

链上数据： 用于策划和测试此次行动的资金流向可以追溯到 Radiant 攻击者。
行动模式： 此次行动中部署的人员角色与已知的受 DPRK 关联的活动有明显的重叠。