攻击周期如何展开?

Drift协议披露,其去中心化交易所于4月1日遭受一场历时六月、高度组织化的漏洞攻击。此次行动并非突发性入侵,而是以社会工程与技术渗透为手段的长期布局。攻击者自2025年10月起在大型加密会议中接触项目团队,伪装成量化交易公司,推动协议集成。此后数月间,通过技术协作、资金注入及参与治理会议等方式,逐步建立可信形象,累计存入超百万美元,并接入生态金库,营造出合规运营假象。

攻击路径如何突破防御?

攻击主要依赖双重入口:一是利用苹果TestFlight预发布渠道分发恶意钱包应用,规避安全审查;二是利用VSCode与Cursor等开发工具中的已知漏洞,实现无提示静默代码执行。攻击者借此控制贡献者设备,获取多签授权。预先签署的交易在触发前隐藏超过一周,最终在一分钟内完成协议金库清空。该过程表明,传统智能合约审计无法覆盖此类基于终端与信任链的攻击模式。

是否存在国家背景关联?

Drift表示有中高程度把握认为本次攻击与2024年10月Radiant Capital事件背后组织相关,标记为UNC4736(又称AppleJeus或Citrine Sleet),具有朝鲜背景特征。链上资金流向与攻击手法重叠支持此判断。但公开接触者非朝鲜籍人员,说明国家背景攻击者通常使用第三方中介进行线下关系构建,通过伪造履历与真实互动完成尽职调查,从而长期积累信任。

对去中心化金融安全模型的冲击

此次事件揭示多签治理机制的结构性脆弱——尽管其设计初衷是抵御单点故障,但在签名者设备被控时形同虚设。攻击者耗时数月渗透终端、等待最佳时机,配合预先签署交易,极大降低检测概率。这表明当前依赖人际信任与协作的安全模型,在面对长期性、身份驱动型攻击时存在根本性缺陷。Drift呼吁所有协议将多签交互设备视为潜在攻击面,并重新评估信任假设的可靠性。