Solana 生態的 Drift Protocol 在遭受高達 2.85 億美元的駭客攻擊後,官方今天發布報告,懷疑這次攻擊是與北韓關聯組織(UNC4736)策劃半年的精密攻擊。駭客偽裝成量化交易員,透過實體會議與資本人員建立長期信任,最終利用惡意代碼與 IDE 漏洞滲透 Drift。
(前情提要:Drift Protocol「被駭 2.85 億美元事件」波及 20 個協議,Prime Numbers Fi 慘遭血洗千萬鎂)
(背景補充:Elliptic 報告:Drift Protocol「2.8 億鎂竊案」真兇疑似北韓駭客!跨鏈洗錢手法太專業)
去中心化永續合約交易所 Drift Protocol 於 4 月 1 日慘遭駭客洗劫約 2.85 億美元後,官方已直接透過以太坊區塊鏈,向四個持有被盜資金的駭客錢包發送了鏈上訊息,試圖與攻擊者開啟談判大門。今(5)日稍早,官方也發布事故調查報告。
Drift 正積極與執法部門、鑑識合作夥伴及生態系團隊合作,全面還原 4 月 1 日攻擊事件的真相。
隨著調查與鑑識工作的持續進行,我們現在可以分享更多關於「攻擊向量」以及該行動如何策劃的細節。Drift 公開這些資訊,是因為生態系中的其他團隊應了解此類攻擊的實際樣貌,並據此保護自己。為保護現正進行中的調查完整性,部分細節將暫保持簡要。
當前狀態
-
協議凍結:所有剩餘的協議功能已凍結,受駭錢包已從多簽(Multisig)中移除。
-
資產追蹤:攻擊者錢包已在各交易所及跨鏈橋營運商處標記黑名單。
-
專業介入:已聘請 Mandiant(知名資安公司)主導調查。
一場策劃 6 個月的攻擊
初步調查顯示,Drift 遭遇的是一場結構化的情報行動,需要組織性的支持、大量資源以及數月的刻意準備。
1. 鎖定與接觸(2025 年秋季)
大約在 2025 年秋季,Drift 的貢獻者在一場大型加密貨幣會議上被一群人搭訕。這群人偽裝成一家尋求與協議集成的量化交易公司。現在看來,這顯然是有針對性的接觸,在接下來的六個月裡,該團體的成員在多個國家的多次大型行業會議上,刻意尋找並聯繫特定的 Drift 貢獻者。
2. 建立信任(2025 年 12 月 – 2026 年 1 月)
他們表現出極高的技術素養,擁有可驗證的專業背景,且對 Drift 的運作模式瞭若指掌。
-
深度溝通:雙方在第一次見面後便建立了 Telegram 群組,隨後進行了數月關於交易策略和保險庫(Vault)集成的實質性對話。
-
實際投入:他們在 Drift 上架了一個「生態系保險庫」,填寫了詳細的策略說明,甚至存入了超過 100 萬美元的自有資金。他們耐心地在 Drift 生態系中建立了一個運作正常的實體形象。
3. 持續滲透(2026 年 2 月 – 3 月)
集成的對話持續進行,Drift 的多名貢獻者在多次會議中與這群人多次面談。此時,這段關係已建立近半年,他們不再是陌生人,而是貢獻者們多次親自見過面的「合作夥伴」。
4. 攻擊觸發與清理
在 4 月 1 日漏洞被利用後,我們對受影響的設備、帳號和通訊歷史進行了徹底的鑑識審查。與該交易團體的互動被鎖定為可能的入侵向量。就在攻擊發生的同時,他們的 Telegram 聊天記錄和惡意軟體已被完全清除。
潛在的滲透機制
我們認為可能存在三個攻擊向量:
-
程式碼庫克隆:一名貢獻者可能在克隆(Clone)該團體分享的代碼庫時受駭。對方聲稱這是為了部署保險庫的前端。
-
測試版應用程式:另一名貢獻者被誘導下載了一個 TestFlight 應用程式,對方稱其為他們的錢包產品。
-
IDE 漏洞利用:針對代碼庫向量,一種可能性是利用 VSCode 或 Cursor 的已知漏洞(安全社群在 2025 年 12 月至 2026 年 2 月間曾積極示警)。只要在編輯器中打開文件或資料夾,即可靜默執行任意代碼,無需用戶點擊、授權或任何警告。
歸因分析
根據 SEAL 911 團隊的支持,我們以「中高程度的信心」評估:此次行動是由同一批威脅行為者所為,即 2024 年 10 月攻擊 Radiant Capital 的團體。
-
歸屬單位:Mandiant 將其歸因為 UNC4736(北韓關聯組織,亦被稱為 AppleJeus 或 Citrine Sleet)。
-
關聯依據:
-
鏈上證據:用於測試和部署此次行動的資金流,可追溯至 Radiant 攻擊者。
-
行動特徵:此次行動中使用的身份,與已知與北韓相關的活動有顯著重疊。
-
特別注意:親自露面的人員並非北韓籍。已知此類級別的北韓威脅者會雇用第三方中間人進行面對面的關係建立。
註:Mandiant 尚未正式歸因此次 Drift 攻擊。最終判斷需等待硬體設備鑑識完成。
結語
調查顯示,第三方行動中使用的個人資料(Profiles)均經過精美包裝,包含完整的工作經歷、公開憑證和專業社交網絡。Drift 貢獻者面談的人員花了數月時間建立的人格特質,完全經得起商業盡職調查。
Drift 仍在努力進行調查。分享此更新是為了幫助生態系降低風險。請務必檢查您的團隊,審計權限設置,並將每一個接觸多簽的設備視為潛在攻擊目標。
我們非常感謝行業專家的鼎力相助,特別感謝 @tayvano_, @tanuki42_, @pcaversaccio 與 @bax1337 的專業協助。
若您的團隊懷疑遭到相同團體的鎖定,請立即聯繫 @SEAL911。
📍相關報導📍
Drift Protocol 證實遭駭「不是愚人節玩笑」!損失上看 2.7 億鎂,駭客正瘋狂洗錢換 ETH
