长达半年的隐蔽渗透

调查显示,攻击者自2025年秋季起系统性地与Drift团队建立联系,伪装成“量化交易”公司代表。他们通过多国加密会议与团队成员进行面对面接触,逐步构建专业商业合作伙伴形象。在Telegram平台的沟通中,双方就策略开发、产品集成等议题进行了深入讨论。为增强可信度,攻击者更投入超百万美元资金在平台建立活跃交易记录,并推出“生态金库”项目。这一长期互动过程表明,攻击者在社会工程与技术实施层面均展现出高度专业性。

多重技术攻击路径

根据技术分析,攻击者通过多种技术向量实施入侵:某团队成员在克隆攻击者分享的前端开发代码库后设备可能遭渗透;另一成员下载攻击者伪装的TestFlight钱包应用后设备疑似感染。调查人员同时关注2025年末至2026年初可能被利用的VSCode及Cursor相关漏洞。值得注意的是,攻击发生时所有通信记录与恶意软件均被即时清除,这进一步印证了行动的事前周密规划。

攻击者身份关联

公司在中高置信度评估中指出,此次事件与2024年Radiant Capital攻击事件存在关联。已知该历史攻击由编号UNC4736且与朝鲜有关的组织实施。Drift特别说明,行动中参与线下会面的个体可能并非朝鲜直接公民,此类国家级支持团体通常借助第三方中介建立实体接触。

事后应对措施

事件发生后,Drift Protocol已暂停协议所有核心功能,并将受影响钱包从多重签名架构中移除。攻击者地址已被各大交易所及跨链桥运营商标记,平台正与Mandiant合作开展技术溯源分析。基于设备的取证调查仍在持续进行,最新发现将适时向公众披露。