基於 Solana 的去中心化交易所 Drift Protocol 週日表示，該平台被竊取約 2.85 億美元的攻擊事件，是由一個北韓國家資助的威脅組織策劃的長達六個月的情資行動。

該協議在一份詳細的事件更新中指出，攻擊者利用偽造的專業身份、實體會議以及惡意開發工具，在執行竊取之前對貢獻者進行了侵害。

區塊鏈安全公司 Cyvers 的戰略副總裁 Michael Pearl 告訴 Decrypt：「加密團隊現在面臨的敵人更像是情報單位而非駭客，大多數組織在結構上並未準備好應對這種程度的威脅。」

Drift 表示，該組織去年秋天在一次大型加密會議上首次接觸了貢獻者，當時他們偽裝成一家量化交易公司，尋求與該協議整合。

數月以來，該組織透過實體會議、Telegram 協調，並在 Drift 上建立了一個生態系統金庫，以及投入 100 萬美元的自有資金，以建立信任。然而，當漏洞被利用時，他們便消失得無影無蹤，所有聊天記錄和惡意軟體也「完全清除」。

該 DEX 表示，此次入侵可能涉及惡意程式碼儲存庫、偽造的 TestFlight 應用程式以及 VSCode/Cursor 漏洞，這些漏洞允許在不經用戶互動的情況下靜默執行程式碼。

Drift 「中高度確信」此次攻擊是由 UNC4736 所為，該組織也被追蹤為 AppleJeus 或 Citrine Sleet——與網路安全公司 Mandiant 連結到 2024 年 Radiant Capital 駭客事件的北韓國家資助組織相同。

Drift 表示，那些與貢獻者面對面會談的人並非北韓國民，並指出與北韓相關的行為者經常依賴第三方中介進行「面對面接觸」。

根據事件回應者 SEAL 911 的說法，鏈上資金流向和重疊的人物角色指向與北韓相關的行為者，儘管 Mandiant 尚未在數位鑑識完成前確認歸因，該平台指出。

安全研究員 @tayvano_ 是 Drift 認可協助識別惡意行為者的專家之一，他暗示此次風險暴露遠不止於此事件。

這位專家在一條推文中列出了數十個 DeFi 協議，聲稱「你所了解和喜愛的協議，早在 DeFi 之夏時，都是由北韓 IT 工作者建立的。」

產業影響

Pearl 指出：「Drift 和 Bybit 顯示出相同的模式——簽署者並非在協議層面直接受到入侵，而是被誘騙批准惡意交易。核心問題不在於簽署者的數量，而在於對交易意圖缺乏理解。」

他表示，多重簽名錢包雖然相較於單一金鑰控制有所改進，但現在卻產生了一種錯誤的安全感，引入了一個「悖論」，即共同責任反而降低了簽署者之間的審查力度。

Pearl 說：「安全必須轉向區塊鏈層級的交易前驗證，在執行前獨立模擬和驗證交易。」他補充說，一旦攻擊者控制了用戶所看到的內容，唯一有效的防禦就是驗證交易實際執行了什麼，無論介面如何。

Lavid 談到開發者工具作為攻擊面時表示，這種假設必須從根本上改變。

他告訴 Decrypt：「你必須假設端點已被入侵。」他指出，IDE、程式碼儲存庫、行動應用程式和簽署環境正日益成為常見的切入點。

這位專家表示：「如果這些基礎工具存在漏洞，那麼呈現給用戶的任何內容——包括交易——都可能被操縱。」他指出，這「從根本上打破了傳統的安全假設」，使得團隊無法信任「介面、設備，甚至是簽署流程。」