最初看似突發的漏洞攻擊,現已被揭露為一場長期、高度協調的行動。Drift Protocol 披露,這起 2.7 億美元的駭客攻擊是一場為期六個月的滲透行動的結果,據稱與北韓國家相關行為者有關。
攻擊者並非利用簡單的漏洞,而是緩慢建立信任,偽裝成合法的量化交易公司並將自己嵌入生態系統中。他們的方法超越了數位欺騙。他們直接與貢獻者互動,參加加密貨幣會議,並在各個層面建立看似可信的關係。
這不是一次快速搶奪的攻擊。這是經過精心策劃、耐心等待的行動,旨在繞過的不僅是技術防禦,還有人類信任。
首次接觸始於加密貨幣會議
據報導,該行動始於 2025 年秋季,當時攻擊者在一次大型加密貨幣會議上進行了首次接觸。當時沒有立即的危險信號。該組織將自己展示為具有可驗證背景的技術熟練專業人士。
他們流利地使用 DeFi 語言,展示了對 Drift 基礎設施和交易機制的深入理解。這種專業水準幫助他們與合法貢獻者和合作夥伴無縫融合。
不久之後,溝通轉移到 Telegram,討論持續了幾個月。這些互動既不倉促也不可疑。相反,它們反映了真實協作的節奏,包括技術討論、戰略投入和持續參與。
通過保持一致性和可信度,攻擊者逐漸在社群中建立了信任。
通過資本和協作建立信任
到 2026 年 1 月,該組織進一步加深了他們的參與。他們成功加入了生態系統金庫,並開始與 Drift 貢獻者一起參加工作會議。
至關重要的是,他們還投入了真實資本,將超過 100 萬美元的自有資金存入協議。此舉強化了他們的合法性,表明他們在這場遊戲中有切身利益。
在整個 2 月和 3 月期間,Drift 生態系統的成員在多個國家親自會見了這些人。這些面對面的互動增加了另一層信任,使他們的意圖更不可能受到質疑。
到攻擊執行時,攻擊者與社群之間的關係已經建立了近六個月。這是 DeFi 漏洞利用中罕見的滲透程度。
攻擊執行利用複雜的入口點
當入侵最終發生時,它是通過兩個高度針對性的載體進行的。
第一個涉及惡意 TestFlight 應用程式,被展示為合法的錢包產品。這使攻擊者能夠在測試新工具的幌子下獲得對貢獻者設備的訪問權限。
第二個載體利用了開發環境(如 VSCode 和 Cursor)中的已知漏洞。這個漏洞在幾個月前就被安全社群標記,僅通過打開文件就能執行任意代碼。
這些方法結合起來,使攻擊者能夠在不立即引起懷疑的情況下入侵關鍵設備。一旦進入,他們就能夠訪問敏感的工作流程和批准機制。
此階段的行動突顯了攻擊策略的關鍵轉變。攻擊者不再直接針對智能合約,而是越來越多地關注圍繞它們的人員和工具層。
多重簽名弱點在最終盜取中暴露
在獲得訪問權限後,攻擊者進入了最後階段:執行。
他們獲得了兩個多重簽名批准,然後用於授權交易。值得注意的是,這些交易是預先簽署的,並休眠了一週多,避免了立即檢測。
4 月 1 日,攻擊者採取行動。在不到一分鐘的時間內,約 2.7 億美元從 Drift 的金庫中被盜走。
執行的速度和精確性幾乎沒有留下干預的空間。當交易被識別時,資金已經被轉移。
Drift 此後警告說,這一事件暴露了基於多重簽名的安全模型的根本弱點。雖然多重簽名系統旨在分散信任,但當簽署者本身被入侵時,它們仍然容易受到攻擊。
與北韓國家行為者的聯繫浮出水面
對這次攻擊的調查已將該行動與 UNC4736 聯繫起來,該組織也被稱為 AppleJeus 或 Citrine Sleet。該實體被廣泛認為與北韓網路行動有關,並與之前備受矚目的漏洞利用有關,包括 Radiant Capital 攻擊。
有趣的是,直接與 Drift 貢獻者互動的個人並未被確認為北韓公民。相反,他們似乎是第三方中介,配備了精心構建的身份,旨在經受審查。
這種分層方法使歸因更加複雜,同時增加了行動的有效性。通過將現場行動者與協調實體分開,攻擊者能夠在整個滲透過程中保持可信的合法性。
為 DeFi 安全模型敲響警鐘
Drift 漏洞利用正在迫使該行業面對一個令人不安的現實。傳統的安全模型專注於代碼審計、智能合約漏洞和多重簽名保護,可能不足以防禦願意投入時間、金錢和人力資源的對手。
如果攻擊者可以花六個月建立關係、部署資本以獲得信任並親自與團隊會面,那麼攻擊面遠遠超出了代碼本身。
這為 DeFi 生態系統提出了一個關鍵問題:什麼樣的安全框架可以檢測和防止這種程度的滲透?
目前,這一事件被視為加密貨幣歷史上最複雜的社會工程驅動漏洞利用之一。它強調了對安全採取更全面方法的必要性,這種方法要考慮人類行為、營運流程以及線上和線下互動之間日益模糊的界限。
隨著協議繼續增長並吸引更多資本,風險只會增加。正如本案所示,下一代攻擊可能不是來自匿名錢包,而是來自坐在桌子對面的可信合作夥伴。
免責聲明:這不是交易或投資建議。在購買任何加密貨幣或投資任何服務之前,請務必自行研究。
在 Twitter 上關注我們 @nulltxnews 以獲取最新的 Crypto、NFT、AI、網路安全、分散式運算和 Metaverse 新聞!
來源: https://nulltx.com/north-korea-linked-group-behind-270m-drift-hack-six-month-plot-revealed/
