2.85亿美元加密货币盗窃案：一次握手与六个月信任引发的Drift协议复杂攻击

精心策划的长期骗局

这次攻击始于2025年秋季，当时一个伪装成量化交易公司的团队在一场大型加密货币会议上首次接触Drift贡献者。从2025年12月到2026年1月，该团队成功在Drift上开设了一个生态系统金库，存入超过100万美元的资金，并参与详细的产品讨论以确立其合法性。到2026年3月，他们通过多次面对面会面进一步巩固了信任关系。

“最危险的黑客看起来并不像黑客，”加密开发者Gautham在回应报告时评论道。

通过信任渠道渗透

Drift的法医分析确定了导致4月1日攻击的三个主要途径：

• 一名贡献者克隆了该团队共享的用于金库前端的代码存储库。
• 另一名贡献者下载了一个被伪装为钱包产品的TestFlight应用程序。

对于代码存储库的攻击路径，Drift指出这是VSCode和Cursor编辑器中已知漏洞的结果。自2025年底以来，安全研究人员一直在警告这一漏洞，它允许在用户打开文件或文件夹时静默执行任意代码，无需任何用户交互。

行业范围内的安全警钟

SEALS 911团队以中高置信度评估认为，此次攻击的威胁行为者与2024年10月Radiant Capital黑客事件的幕后黑手相同，后者此前被Mandiant归因于UNC4736。这一评估得到了链上资金流动分析和两次活动操作重叠的支持。

此次攻击的规模和复杂性促使加密货币行业紧急呼吁进行全面的安全审查。知名Solana开发者Armani Ferrante敦促每个加密团队暂停增长计划并进行全面安全审计。“每个加密团队都应该以此为契机放慢脚步，专注于安全性。如果可能，组建一个专门的安全团队……如果你被黑客攻击，就无法继续发展。”

警告与建议

Drift指出，那些亲自出现的人并未被识别为朝鲜国民，这是高级DPRK威胁行为者常用的策略，他们通常通过第三方中介进行面对面接触。Mandiant（Drift聘请进行设备取证的公司）尚未正式将此次攻击归因于特定组织。

Drift敦促所有项目立即审查其访问控制，将涉及多签钱包的每个设备视为潜在攻击目标，并在怀疑受到类似攻击时联系SEAL 911等组织。