漂移协议黑客：朝鲜组织如何花费六个月时间渗透 DeFi 协议

目录漂移协议于 2026 年 4 月 1 日遭遇重大漏洞，引发协议全面冻结。此事件后来被揭露为一场结构化的、长达数月的情报行动。包括 Mandiant 在内的法医合作伙伴正在协助执法部门调查此次违规行为。初步调查结果表明，朝鲜国家附属威胁组织可能是肇事者。这标志着迄今为止去中心化金融中记录的最深思熟虑的社会工程活动之一。对 Drift Protocol 的攻击并不是从发生的那天就开始的。它可以追溯到 2025 年秋季，当时在一次重要的加密货币会议上与贡献者进行了接触。该组织将自己定位为一家寻求协议集成的量化交易公司。他们技术娴熟，并具有可证实的专业背景。在接下来的几个月里，该小组的成员继续与 Drift 贡献者进行面对面的交流。这些遭遇发生在多个国家的多个行业会议上。从第一次会议开始，Telegram 小组就成立了。接下来是围绕交易策略和金库集成进行的数月详细对话。从 2025 年 12 月到 2026 年 1 月，该组织在该协议上建立了一个生态系统库。他们存入了超过 100 万美元的自有资金，并参加了多次工作会议。到 2026 年 2 月和 3 月，该协议指出“这些人并不陌生；他们是 Drift 贡献者曾经合作过并亲自见过面的人。”在此期间，项目、工具和应用程序的链接经常被共享。调查后来显示，“这次行动中使用的个人资料已经完全构建了身份，包括就业经历、面向公众的证书和专业网络。”贡献者与他们进行了详细的产品讨论。随着时间的推移，这在 Drift 生态系统中建立了可靠的运营存在。 4 月 1 日的漏洞利用后，对受影响的设备和通信进行的取证审查将该贸易组织标记为可能的入侵媒介。他们的 Telegram 聊天记录和恶意软件在攻击发生后立即被彻底清除。正在进行的调查中出现了三个潜在的攻击媒介。一位贡献者可能克隆了该组共享的代码存储库。它被作为他们的金库的前端部署来呈现。另一位贡献者被诱导下载了一个被称为该组织钱包产品的 TestFlight 应用程序。关于基于存储库的向量，“只需在编辑器中打开文件、文件夹或存储库就足以静默执行任意代码，无需向用户提示或指示、单击、权限对话框或任何类型的警告。”对受影响硬件的全面取证分析仍在进行中。此后，Drift 敦促更广泛的生态系统“检查您的团队，审核谁有权访问哪些内容，并将接触多重签名的每台设备视为潜在目标。”海豹突击队 911 小组以中高置信度评估这是 UNC4736 的工作。该组织是一名朝鲜国家附属演员，被追踪为 AppleJeus 或 Citrine Sleet。链上资金流动和重叠的角色将此次活动与 2024 年 10 月 Radiant Capital 黑客事件联系起来。亲自露面的人不是朝鲜国民，因为众所周知，朝鲜威胁行为者会利用第三方中间人进行直接联系。