基于Solana的去中心化交易所Drift Protocol周日表示,从该平台盗取约2.85亿美元的攻击是由朝鲜国家支持的黑客组织进行的为期六个月的结构化情报行动。
攻击者使用伪造的专业身份、线下会议和恶意开发者工具来渗透贡献者,然后执行资金盗取操作。该协议在一份详细的事件更新中表示。
“加密团队现在面临的对手更像是情报单位而非黑客,大多数组织在结构上都没有为这种级别的威胁做好准备,”区块链安全公司Cyvers战略副总裁Michael Pearl告诉《Decrypt》。
Drift表示,该组织去年秋天在一个大型加密会议上首次接触贡献者,自称是一家寻求与协议整合的量化交易公司。
数月来,该组织通过线下会议、Telegram协调建立信任,在Drift上开设了一个生态系统金库,并存入100万美元的自有资金,然后在攻击发生时消失,聊天记录和恶意软件被”完全清除”。
该DEX表示,入侵可能涉及恶意代码仓库、虚假TestFlight应用程序以及VSCode/Cursor漏洞,这些漏洞使得无需用户交互即可执行静默代码。
Drift以”中高置信度”将该攻击归因于UNC4736,也被追踪为AppleJeus或Citrine Sleet——这是同一朝鲜国家支持的黑客组织,网络安全公司Mandiant曾将其与2024年的Radiant Capital攻击联系起来。
行业影响
“Drift和Bybit突显了相同的模式——签名者并非在协议层面直接被攻破,而是被诱骗批准恶意交易,”Pearl指出。”核心问题不是签名者数量,而是对交易意图缺乏理解。”
他表示,多重签名钱包虽然比单密钥控制有所改进,但现在却制造了一种虚假的安全感,引入了”一个悖论”,即共同责任降低了签名者之间的审查力度。
“安全必须转向区块链层面的交易前验证,交易在执行前被独立模拟和验证,”Pearl补充道,并指出一旦攻击者控制了用户看到的内容,唯一有效的防御就是验证交易实际执行的操作,无论界面如何。
关于开发者工具作为攻击面,专家表示必须从根本上改变假设。
“你必须假设终端已被攻破,”他告诉《Decrypt》,指出IDE、代码仓库、移动应用程序和签名环境日益成为常见入口点。
“如果这些基础工具存在漏洞,向用户显示的任何内容——包括交易——都可能被操纵,”专家表示,并指出这”从根本上打破了传统安全假设”,使得团队无法信任”界面、设备甚至签名流程”。
本网站所有区块链相关数据与资料仅供用户学习及研究之用,不构成任何投资建议。转载请注明出处:https://www.lianxinshe666.com/2026/04/06/%e6%9c%9d%e9%b2%9c%e9%bb%91%e5%ae%a2%e6%b8%97%e9%80%8f%e5%85%ad%e4%b8%aa%e6%9c%88%e5%90%8e%e5%ae%9e%e6%96%bd2-85%e4%ba%bf%e7%be%8e%e5%85%83%e6%94%bb%e5%87%bb%ef%bc%9adrift-protocol%e9%81%ad%e5%9b%bd/
