朝鲜关联组织策划六月潜伏，致Drift协议巨额资金被盗

Drift Protocol在最新事件通报中指出，造成平台约2.85亿美元损失的网络攻击，是一场由朝鲜国家支持的威胁行为体主导、持续长达六个月的系统性情报渗透行动。

隐蔽渗透路径揭示：信任构建与身份伪装并行

攻击者通过伪造专业背景、参与真实行业会议，并以虚构的量化交易公司身份接触项目核心贡献者，逐步建立可信关系。期间，他们在Drift生态金库中注入100万美元自有资金以增强可信度，同时在Telegram渠道长期协作，最终在攻击发生时彻底消失，不留痕迹。

多层技术手段协同，形成无感知入侵链条

调查确认，此次入侵涉及恶意代码仓库投毒、伪造测试应用部署以及可实现无交互静默执行的开发工具漏洞利用。经高置信度溯源，攻击被明确归因于代号为UNC4736的朝鲜关联组织，该组织亦曾卷入2024年另一宗知名协议攻击事件。

非朝鲜籍人员现身，第三方中介成关键节点

值得注意的是，直接与项目成员接触的人员并非朝鲜籍。事件响应团队分析指出，朝鲜关联行为体惯用第三方中介完成面对面接触，链上资金流动模式与身份重叠特征均指向其背后的国家支持背景。

安全防御体系面临根本性重构挑战

安全研究员警示，此类攻击影响远超单一事件。其分析显示，多个去中心化金融协议可能存在类似渗透风险，暗示部分开发工作或已遭朝鲜技术人员长期介入。专家强调，当前多数事件并非签名密钥被盗，而是用户在未充分理解交易实质的情况下被诱导授权恶意操作。

多重签名制造安全幻觉，验证机制亟待前置

尽管多重签名机制优于单密钥控制，但其可能导致责任分散与审查弱化，形成“安全错觉”。真正有效的防御应转向交易前的独立模拟与逻辑校验，确保实际执行行为符合预期。当攻击者能操控用户界面时，唯有对交易本质逻辑进行验证，才能实现有效防护。

开发环境即战场，信任基础已被瓦解

安全专家呼吁重新定义基本假设：集成环境、代码仓库、移动应用及签名工具正成为主要攻击入口。一旦这些底层组件存在漏洞，所有面向用户的展示内容——包括交易详情——皆可能被篡改。这从根本上动摇了传统安全模型，迫使开发团队默认终端环境已受控，必须构建端到端的完整性保障体系。