经过数月的患者渗透，朝鲜特工如何策划价值 2.7 亿美元的加密货币盗窃案

4 月 1 日，在朝鲜国家支持的黑客组织策划了大约半年的长期渗透活动后，Drift Protocol 遭遇了价值 2.7 亿美元的灾难性安全漏洞。 🚨朝鲜刚刚实施了加密货币历史上最可怕的黑客攻击.. 他们花了 6 个月的耐心.. 他们没有发送网络钓鱼电子邮件.. 他们没有利用智能合约.. 他们建立了关系.. 2025 年秋季.. 一家“量化交易公司”走向 Drift... https://t.co/pTScEhV9sb pic.twitter.com/z8awPLGQ7l — Evan Luthra (@EvanLuthra) 2026 年 4 月 5 日 这项复杂的操作始于 2025 年秋季的一次著名加密货币会议。犯罪者成功冒充量化交易机构的代表，拥有全面的技术知识、经过认证的专业证书以及对 Drift 基础设施和运营的详细熟悉。最初的沟通是通过 Telegram 渠道建立的，启动了数月的持续对话。讨论集中在机构交易合作伙伴关系的典型主题上：金库集成协议、战略交易方法和运营框架。在 2025 年 12 月至 2026 年 1 月期间，欺诈实体在 Drift 生态系统内正式建立了一个 Ecosystem Vault。他们与平台贡献者进行了多次协作工作会议，并部署了超过 100 万美元的实际资本——这是一个精心策划的举措，旨在建立真实性。 2026 年 2 月和 3 月期间，Drift 人员在多个国家的各个国际会议场所与该组织的代表进行了直接、面对面的会议。到 4 月 1 日袭击发生时，双方关系已经成熟了近半年。该漏洞是通过双向量攻击策略实现的。最初，一名团队成员安装了 TestFlight 应用程序——苹果的测试版分发系统，它绕过了标准的 App Store 安全验证流程——攻击者将其作为其专有的钱包解决方案进行营销。此外，威胁行为者还将 VSCode 和 Cursor（两种流行的集成开发环境）中存在的公开记录的漏洞武器化。该漏洞只需在任一编辑器中打开受感染的文件即可静默执行恶意有效负载代码，而不会触发任何用户通知或安全警报。成功入侵设备后，攻击者有条不紊地提取了确保两个多重签名钱包批准所需的凭据。这些预授权交易在 4 月 1 日执行之前的一个多星期内一直处于不活动状态，导致在 60 秒内提取了 2.7 亿美元。网络安全分析师将此事件与 UNC4736 联系起来，该组织是一个也被称为 AppleJeus 或 Citrine Sleet 的威胁组织。区块链取证揭示了与 2024 年 10 月 Radiant Capital 泄露有关的交易模式，调查人员也将其归因于朝鲜行为者。值得注意的是，亲自出席会议的个人并非朝鲜公民——朝鲜附属团体通常会使用精心捏造身份的第三方代理人。加密货币法律专家 Ariel Givner 表示，该事件可能构成可起诉的民事过失。她强调，基本的安全协议——包括在隔离的气隙系统上维护签名密钥以及对行业活动中遇到的开发人员进行彻底的背景验证——似乎没有得到充分实施。 “每个可信的项目都了解这些要求。Drift 未能实现这些要求，”Givner 表示。针对 Drift 的集体诉讼营销材料已经在流通。 Drift 的安全团队表示“中高度可信”，认为相同的威胁行为者执行了 2024 年 10 月的 Radiant Capital 攻击，其中恶意软件是由冒充前承包商的个人通过 Telegram 分发的。