去中心化交易所Drift近日通报,其平台在4月1日遭遇一场持续六个月、高度组织化的攻击行动,涉及复杂的社会工程与技术渗透。初步评估显示,此次事件导致约2.7亿至2.8亿美元资产流失。团队强调,调查表明这并非偶发漏洞,而是一场具备机构支持、资源投入与长期筹备的定向间谍行为。
攻击团伙最早于2025年10月在大型加密会议中接触项目方,自称一家量化交易公司,表达合作意愿。此后数月,他们通过参与技术讨论、提交代码贡献、部署资金至生态金库等方式逐步建立信誉。期间累计注入超百万美元,并深度参与内部会议,成功塑造出合规运营的外部形象。至2026年初,双方关系已进入标准集成流程阶段,为后续攻击铺平道路。
攻击实现依赖两大技术路径:一是利用苹果TestFlight预发布渠道分发伪装钱包应用,规避官方审查;二是利用VSCode与Cursor等主流开发工具中的已知漏洞,实现打开文件即触发无提示代码执行。这两类入口使攻击者得以控制核心贡献者的终端设备,进而窃取用于执行漏洞操作所需的多重签名权限。预先签署的交易在被激活前隐匿超过一周,最终在一分钟内完成对协议金库的清空。
Drift表示,有中高概率认定本次攻击与2024年10月针对Radiant Capital的事件出自同一组织,该组织已被标记为UNC4736,亦称AppleJeus或Citrine Sleet,具有朝鲜背景特征。链上资金流向及攻击手法的高度重合提供了关键佐证。但团队特别指出,现场接触人员并非朝鲜籍:“此类国家级攻击通常由第三方中介代行线下接触,以伪造履历与专业形象通过尽职调查。”这种策略有效突破了基于身份验证与现实互动的信任防线。
本事件暴露出多签治理机制的结构性缺陷——尽管其被视作去中心化金融的核心防线,但前提是签名者及其终端始终处于安全状态。本案中,攻击者通过数月时间完成设备渗透与权限获取,再配合预先签署交易,极大压缩了检测窗口。一旦授权被夺取,即便机制设计严密也无法阻止攻击。因此,Drift呼吁各协议将所有接入多签系统的设备视为潜在攻击面,并重新评估依赖人际信任的安全范式在长期、身份驱动型威胁下的可持续性。
声明:文章不代表币圈网立场和观点,不构成本站任何投资建议。内容仅供参考!
免责声明:本站所有内容仅供用户学习和研究,不构成任何投资建议.不对任何信息而导致的任何损失负责.谨慎使用相关数据和内容,并自行承担所带来的一切风险.