朝鲜背景黑客组织被指主导大规模加密资产盗取

针对Drift协议的严重网络安全事故最新披露关键信息，此次攻击造成的经济损失预估达2.7亿美元。据开发团队公布的数据，一个疑似隶属于朝鲜的情报支持组织，历时六个月系统性策划本次入侵，并运用高度隐蔽的技术手段突破核心防护体系。

渗透路径：以专业身份获取内部信任

该组织于2025年末在一场知名加密行业峰会中首次现身，伪装成一家成熟量化交易机构的代表，展示出精准的技术理解力与符合行业惯例的行为模式。这一策略使其逐步赢得社区成员的初步信赖，为后续深度嵌入创造条件。

信任构建与漏洞利用双重策略并行

自去年十月起，攻击者通过Telegram渠道主动参与社群讨论，发布看似合规的DeFi操作建议，有效吸引关键决策者的关注。为强化可信度，他们在2025年12月至2026年1月期间向协议注入超百万美元资金，成功与核心开发者建立直接联系。

随后，在多场国际行业会议的线下互动中，其与贡献者的关系持续深化。这种基于长期社交渗透所建立的信任，最终成为攻破安全防线的核心突破口。

技术分析表明，攻击主要依赖两类手法：一是通过苹果TestFlight平台分发伪装成开发工具的钱包应用，绕过常规验证流程；二是利用VSCode与Cursor等主流代码编辑器的远程执行漏洞，在用户打开恶意文件时实现设备控制。

上述手段使攻击者获得必要的多重签名权限，并在系统内部署潜伏超过一周的恶意指令。该指令于4月1日被激活，导致协议资金被迅速清空。

大量证据链指向代号为UNC4736的实体，该组织此前曾以“AppleJeus”和“Citrine Sleet”名义活跃，已被多个安全机构确认与近期多起加密资产攻击案存在关联。

值得注意的是，现场出现的嫌疑人可能并非真实朝鲜籍人员，而是借助高度伪造的身份资料与精心构建的职业履历完成渗透，极大增加了溯源难度。

事件曝光后，Drift团队敦促全行业重新审视多重签名管理机制的可靠性，强调必须加强设备端安全审查。他们指出，当前去中心化金融生态对“信任即安全”的依赖已构成重大隐患。

“这不仅是一次技术失败，更是对整个行业治理逻辑的警示。”相关代表表示。