Drift Protocol 披露了其2026年4月1日遭受攻击的详情,概述了一场历时六个月精心策划的协同攻击。这家去中心化交易所表示,此次入侵发生在面对面会议、技术交流和恶意软件分发之后。这起发生在4月1日的事件涉及被入侵的贡献者,估计造成近2.8亿美元的损失。
Drift Protocol 追溯长期社交工程攻击
在一篇X文章中,Drift Protocol 表示攻击始于2025年10月左右的一场大型加密货币会议。据 Drift Protocol 称,伪装成量化交易公司的个人接触了寻求集成的贡献者。
然而,互动并未就此停止。该团伙在六个月内继续在多个全球行业会议上与贡献者接触。他们在反复的面对面会议中展示了经过验证的专业背景,并展示了技术流畅性。
此外,他们在初次接触后建立了一个 Telegram 群组。随着时间推移,他们与贡献者讨论交易策略和潜在的金库集成。这些讨论遵循了交易公司与 Drift Protocol 互动的标准入驻模式。
从2025年12月到2026年1月,该团伙入驻了一个生态系统金库。他们提交了策略详情,并向协议存入超过100万美元。与此同时,他们进行了工作会议并提出了详细的产品问题。
入侵与共享工具和设备访问有关
随着集成谈判在2026年2月和3月的推进,信任加深了。贡献者在行业活动中再次与该团伙会面,加强了现有关系。然而,Drift Protocol 后来确定这些互动可能是入侵途径。
据 Drift Protocol 称,攻击者在合作期间分享了恶意存储库和应用程序。这与ZachXBT 就2.8亿美元攻击延迟对 Circle 的指责形成鲜明对比。据报道,一名贡献者克隆了一个被描述为前端部署工具的代码存储库。
来源:Arkham
另一名贡献者下载了一个被描述为钱包产品的 TestFlight 应用程序。这些行为可能使设备暴露于入侵风险。对于存储库途径,Drift Protocol 指出了 VSCode 和 Cursor 中的一个已知漏洞。
在2025年12月至2026年2月期间,打开文件可能导致无警告的静默代码执行。在攻击发生后,Drift Protocol 对受影响的设备和账户进行了取证审查。值得注意的是,攻击者的通信渠道和恶意软件在执行后立即被清除。
归因和持续调查工作
Drift Protocol 表示在检测到攻击后冻结了所有协议功能。它还从其多签结构中移除了被入侵的钱包,并在交易所和桥接器上标记了攻击者钱包。该公司聘请了 Mandiant 支持调查。与此同时,SEALs 911 贡献了指向已知威胁组织的分析。
这家去中心化交易所以中高置信度将此次攻击与2024年10月 Radiant Capital 黑客攻击背后的行为者联系起来。该行动此前被归因于 UNC4736,也称为 AppleJeus 或 Citrine Sleet。
Drift Protocol 澄清,参与面对面会议的个人并非朝鲜国民。相反,它指出此类行动通常使用第三方中介进行面对面接触。
据 ZachXBT 称,该活动反映了通常归类于 Lazarus 旗下的已知朝鲜相关网络行动。他解释说,Lazarus 指的是一组黑客单位,而朝鲜表示这些行动背后的国家隶属关系。他指出,此类团伙在执行攻击前使用分层身份、中介和长期访问构建。
来源:ZachXBT
ZachXBT 补充说,与此次攻击相关的链上资金流动显示出与之前朝鲜相关事件(包括 Radiant Capital)相关的钱包存在重叠。他还强调了行动相似性,包括分阶段互动、通过可信渠道传递恶意软件以及执行后的快速清理。
Drift Protocol 强调,在事件期间所有多签签署者都使用了冷钱包。它继续与执法部门和取证合作伙伴合作以完成调查。
来源:https://coingape.com/drift-hack-update-protocol-shares-latest-security-update-on-april-1-exploit/
