攻击路径揭示长期渗透策略

一份调查报告披露,构建于Solana区块链上的去中心化衍生品交易所Drift Protocol在2026年4月遭遇严重安全事件。攻击者被指为与朝鲜相关的网络组织,其通过长达数月的隐蔽渗透,最终实现高达2.85亿美元的资金转移。 事件起始于2025年秋季的一场加密货币行业会议。攻击者伪装成量化交易公司代表,与项目方成员建立初步联系。此后六个月内,双方通过Telegram及多国线下会面频繁交流交易策略与金库开发方案,逐步获得技术团队信任。2025年12月,该团队在平台部署生态金库并注入超百万美元资金,进一步融入系统架构。 随着合作关系加深,其行为逐渐脱离常规审查范围。2026年4月1日,攻击者突然中断所有沟通渠道,其使用的Telegram账户随即注销。随后,攻击者利用已获取的系统权限,发起复杂操作,短时间内完成大规模资产提取。

技术漏洞与溯源追踪进展

调查显示,攻击者利用多个关键入口点突破防御体系。其中一条路径指向用于金库前端部署的代码仓库,克隆操作可能借助了2025年底已被网络安全社区警示的代码编辑器漏洞,该漏洞可在无用户确认的情况下执行任意指令。另一入口点涉及项目成员被诱导安装伪装成加密货币钱包的测试程序,该行为可能为攻击者提供了额外访问通道。 对受损设备的初步分析仍在进行中,尚无法确认完整攻击链细节。然而,根据安全机构追踪数据,有中高度置信度证据将此次事件与编号UNC4736的组织关联。该组织此前曾参与2024年10月针对Radiant Capital的攻击,其资金流向模式与操作手法与朝鲜背景的黑客活动高度重合。值得注意的是,实际参与线下接触的人员并非朝鲜籍,极可能是受雇于该组织的第三方中介。

行业应对与安全治理升级

事件发生后,Drift Protocol立即采取紧急措施,冻结平台全部功能,从多重签名结构中移除受损钱包,并向各大交易所与跨链桥运营商标记攻击者相关地址。项目方正联合专业安全团队开展深度取证,以识别潜在风险敞口并防范后续威胁。 多位独立安全研究员在事件披露后强调,所有DeFi项目必须坚持高标准的安全实践,包括资产托管机制、权限分级控制、定期依赖库审查及第三方合作方的风险评估。他们指出,不应因外部压力或快速迭代需求而牺牲基础安全防线。 安全社区成员因在威胁情报共享方面的贡献获得项目方公开致谢。同时,项目方鼓励其他面临类似威胁的团队通过正式渠道寻求协作支持,推动形成跨项目协同响应机制,共同提升区块链生态整体韧性。