加密货币衍生品平台 Drift Protocol 公布了其对 2026 年 4 月 1 日发生的近 2.85 亿美元黑客攻击事件的初步调查结果。该公司表示,此次攻击并非突发安全漏洞所致,而是一场历时约六个月的精心策划的专业渗透行动。
Drift公司表示,他们正在与执法部门、法医团队和生态系统代表合作,以查明事件的各个方面。
调查结果显示,攻击者自 2025 年秋季起便系统性地与 Drift 团队互动,并伪装成一家“量化交易”公司。他们通过在各国的大型加密货币会议上与团队成员面对面交流来建立信任,并逐渐塑造了专业的商业伙伴形象。他们通过 Telegram 进行沟通,详细讨论了战略制定和产品整合等话题。调查还显示,攻击者投入了超过 100 万美元的资金,在 Drift 平台上建立活跃的影响力,并推出了“生态系统金库”。这一长期互动过程表明,攻击者实施了一项高度复杂的行动,不仅技术手段高超,而且在社会工程方面也运用了高超的手段。
根据 Drift 的分析,此次攻击是通过多种技术途径实施的。据信,一名团队成员的设备可能在克隆攻击者共享的代码库后遭到入侵,该代码库表面上是用于前端开发。另一名团队成员的设备可能通过下载一个被攻击者伪装成钱包应用的 TestFlight 应用而感染。此外,Drift 还考虑了此次攻击过程中可能使用了 VSCode 和基于游标的漏洞,这些漏洞预计将在 2025 年末至 2026 年初被利用。所有通信记录和属于攻击者的恶意软件在攻击发生时立即被删除,这一重要细节表明了此次行动的周密计划和专业性。
该公司在评估此次攻击的幕后黑手时表示,调查结果与2024年发生的Radiant Capital黑客攻击事件有关联,置信度为中等至高。已知该攻击是由一个此前被确认为UNC4736且与朝鲜有关联的组织实施的。Drift指出,在行动期间进行面对面会谈的人员可能并非朝鲜公民,但此类国家支持的组织通常会利用第三方中间人来建立实际联系。
攻击发生后,Drift Protocol宣布已暂时中止协议的所有关键功能,并将被入侵的钱包从多重签名架构中移除。该公司表示,攻击者的地址已被交易所和桥接运营商标记,目前正与Mandiant合作对此次事件进行技术分析。该公司还宣布,基于设备的取证调查仍在进行中,并将于有新发现时立即向公众公布。
*本文不构成投资建议。