摘要:Drift协议披露其遭遇一场历时六个月的协同攻击,造成约2.7亿至2.8亿美元损失。攻击者通过伪装身份渗透生态,利用开发工具漏洞与预签交易实现快速掠夺,暴露出当前DeFi信任模型的重大缺陷。
Drift协议遭系统性渗透:长达半年的伪装入侵致巨额资产流失
Drift协议近日通报,其去中心化交易所于4月1日遭遇一场持续六个多月、高度组织化的攻击行动,涉及长期社会工程与技术潜伏。初步评估显示,此次事件导致资产损失介于2.7亿至2.8亿美元之间。团队强调,该行为并非偶然漏洞利用,而是一场具备机构资源支持、精密策划与长期部署特征的数字间谍活动。
伪装集成路径:从会议接触至生态深度嵌入
攻击者最早于2025年10月在一场大型加密行业峰会上接触项目方,自称隶属于一家量化交易公司,意图推进协议整合。此后数月内,他们以技术协作、资金注入和参与治理会议等形式,逐步构建可信形象。期间累计向生态金库注入超百万美元,并获得正式接入权限,成功融入日常运营流程,使双方关系发展为标准商业集成模式,有效规避了早期审查机制。
双重攻击入口:恶意测试应用与开发环境漏洞协同利用
攻击核心依赖两个关键路径:其一,通过伪造的TestFlight分发应用伪装成钱包产品,绕过苹果平台的安全审核;其二,利用VSCode与Cursor等主流开发工具中存在的已知漏洞,实现文件打开即触发无提示代码执行。上述手段使攻击者得以控制贡献者终端设备,进而窃取用于发起漏洞交易的多重签名授权。预先签署的指令在激活前隐藏超过一周,最终在一分钟内完成对协议金库的清空。
关联性分析:指向具有朝鲜背景的已知攻击组织
Drift团队表示,有中高程度依据判断此次攻击与2024年10月针对Radiant Capital的事件存在关联。相关实体被标记为UNC4736(又称AppleJeus或Citrine Sleet),具备明确的朝鲜背景特征。链上资金流向及攻击手法的高度重合,强化了这一推断。然而,公开场合的接触者并非朝鲜籍人员——这表明此类国家级威胁通常采用第三方中介进行线下关系建立,通过伪造履历与专业表现完成尽职调查,从而实现长期信任积累。
安全范式重构:多签机制在身份劫持面前形同虚设
本次事件揭示出多签治理模型的根本性脆弱点:尽管该机制旨在防范单点故障,但其有效性完全依赖于签名者及其终端设备的安全状态。攻击者耗时数月渗透个人设备、获取权限并等待最优时机,再借助预先签署交易降低检测概率。一旦授权泄露,整个体系便陷入瘫痪。因此,Drift呼吁所有协议将所有与多签交互的终端视为潜在攻击面,并重新审视基于人际信任与协作流程的安全假设,警惕长期性、身份驱动型威胁对去中心化金融根基的侵蚀。
声明:本站所有文章内容,均为采集网络资源,不代表本站观点及立场,不构成任何投资建议!如若内容侵犯了原著者的合法权益,可联系本站删除。