Drift黑客事件初步调查：疑似朝鲜关联组织策划半年渗透行动

BlockBeats 消息，4 月 5 日，据官方消息，Drift 表示正在与执法机构、取证合作伙伴及生态团队合作，全面调查 2026 年 4 月 1 日发生的黑客攻击事件。目前所有协议功能已被暂停，受影响的钱包已从多签中移除，攻击者地址也已在交易平台和跨链桥中被标记。安全公司 Mandiant 已介入调查。初步结果显示，此次攻击并非短期行为，而是一次持续约 6 个月、具备组织化背景与充足资源支持的情报渗透行动。早在 2025 年秋季，一批自称量化交易公司的人员便在多个国际加密会议上接触 Drift 团队成员，并在此后数月中持续建立关系、展开合作，甚至在平台内投入超 100 万美元资金以建立可信度。

调查发现，这些人员具备专业背景和技术能力，通过 Telegram 群组与团队长期沟通交易策略及产品整合，并多次在线下会议中与核心贡献者会面。在 2026 年 4 月攻击发生后，相关聊天记录及恶意软件被迅速清除。Drift 认为，此次入侵可能通过多个路径实施，包括诱导团队成员克隆带有恶意代码的仓库，或下载伪装成钱包产品的测试应用。此外，攻击还可能利用了当时安全社区已警告的 VSCode 与 Cursor 漏洞，在用户无感知情况下执行恶意代码。

基于链上资金流及行为模式分析，安全团队初步判断该行动与 2024 年 Radiant Capital 攻击事件背后的威胁组织有关，该组织被归因于朝鲜背景黑客团体（如 UNC4736 / AppleJeus）。值得注意的是，线下接触的人员并非朝鲜籍，而是第三方中间人。Drift 表示，攻击者构建了完整且可信的身份体系，包括职业履历与公开背景，以通过长期接触获取信任。目前调查仍在进行中，团队呼吁行业加强设备安全审查与权限管理。

AI 解读

从你提供的材料来看，这指向一个非常严重且持续存在的安全威胁模式：由国家支持的、高度组织化的朝鲜黑客组织，其活动已从单纯的网络攻击演变为一种长期、系统性的渗透策略。

核心问题已不再是简单的技术漏洞，而是升级为针对“人”的信任链条的攻击。Lazarus Group等组织的行为模式显示出高度的战略耐心和适应性。他们不再满足于利用一次性的代码漏洞，而是采取更隐蔽、破坏力更大的方式：

1. **长期渗透与信任构建**：如Munchables事件所示，黑客通过伪装身份，以开发者的角色长期潜伏在项目团队中，赢得核心信任后伺机而动。这种“内部人”威胁极难防范。
2. **混合式社会工程学攻击**：手段多样化，包括伪造高管邮件的网络钓鱼、甚至直接进行线下物理接触，如Drift事件中提到的“当面接触”。这表明他们的情报收集和行动能力已经覆盖了线上和线下。
3. **明确的资金流向与国家动机**：多个报告，特别是联合国和Chainalysis的分析，明确指出这些攻击窃取的资金最终流向朝鲜的武器计划。这使得他们的行为带有强烈的国家任务色彩，不计成本，持续性强。
4. **行业防御措施的升级**：作为回应，头部企业如Coinbase已经开始采取极其严格的物理身份验证措施，包括强制面对面培训、要求美国公民身份和生物识别。这反映了行业共识：传统的远程身份验证和网络安全协议已不足以应对这种国家级的、针对人的威胁。

总而言之，这描绘了一幅严峻的图景：加密行业正在与一个资源充足、战术灵活且具有明确国家战略目标的对手进行一场不对称的攻防战。防御的重点必须从纯粹的技术层面向更全面的运营安全倾斜，尤其需要加强对团队成员的身份背景审查和持续的安全意识教育，以应对这种深度融合了社会工程学的国家级威胁。

展开

原文链接

纠错/举报