平壤间谍的长期行动揭露了五亿美元的抢劫案

根据该团队周日早些时候发布的详细事件更新，在 Drift Protocol 价值 2.7 亿美元的漏洞利用之前，由朝鲜国家附属组织开展了为期六个月的情报行动。

攻击者在 2025 年秋季左右的一次大型加密货币会议上首次进行接触，将自己定位为一家寻求与 Drift 整合的量化交易公司。

德里夫特说，他们技术娴熟，拥有可验证的专业背景，并且了解协议的运作方式。一个 Telegram 小组成立了，随后就交易策略和金库集成进行了数月的实质性对话，这些互动是交易公司如何使用 DeFi 协议的标准互动。

2025 年 12 月至 2026 年 1 月期间，该组织在 Drift 上建立了 Ecosystem Vault，与贡献者举行了多次工作会议，存入了超过 100 万美元的自有资金，并在生态系统内建立了有效的运营机构。

2 月和 3 月，Drift 贡献者在多个国家的多个主要行业会议上与该组织的个人进行了面对面的交流。到 4 月 1 日攻击发起时，双方关系已近半年。

这种妥协似乎是通过两个途径实现的。

第二个人下载了 TestFlight 应用程序，这是苹果公司用于分发绕过 App Store 安全审查的预发布应用程序的平台，该组织将其作为他们的钱包产品展示。

对于存储库向量，Drift 指出了 VSCode 和 Cursor 中的一个已知漏洞，这是软件开发中使用最广泛的两种代码编辑器，安全社区自 2025 年底以来一直在标记该漏洞，只需在编辑器中打开文件或文件夹就足以在没有任何提示或警告的情况下静默执行任意代码。

一旦设备遭到破坏，攻击者就获得了获得两个多重签名批准所需的信息，从而实现 CoinDesk 本周早些时候详细介绍的持久随机数攻击。这些预先签署的交易在 4 月 1 日执行之前已经休眠了一个多星期，不到一分钟就从协议金库中流失了 2.7 亿美元。

该归因指向 UNC4736，这是一个朝鲜国家附属组织，也被追踪为 AppleJeus 或 Citrine Sleet，基于可追溯到 Radiant Capital 攻击者的链上资金流以及与已知的朝鲜相关人物的操作重叠。

然而，亲自出席会议的人并不是朝鲜国民。众所周知，朝鲜这一级别的威胁行为者会部署具有完全构建的身份、就业历史和专业网络的第三方中介机构，以承受尽职调查。

Drift 敦促其他协议审核访问控制，并将接触多重签名的每台设备视为潜在目标。对于依赖多重签名治理作为主要安全模型的行业来说，更广泛的影响是令人不安的。

但如果攻击者愿意花费六个月和一百万美元在生态系统内建立合法存在，亲自与团队会面，贡献真正的资本，然后等待，那么问题是设计什么安全模型来捕获这种情况。