信任的陷阱:从合作到渗透的隐蔽路径

Drift Protocol近期遭遇的网络攻击,暴露出即使具备多签钱包等基础防护机制的项目,仍可能因人为因素而彻底失守。此次攻击并非突发奇袭,而是建立在长达数月的精心布局之上。攻击者以交易公司代表身份,在2025年秋季的大型加密会议上首次接触团队,并在随后六个月内频繁参与多个行业会议,通过面对面互动逐步构建可信形象。这种真实存在的物理接触,远比远程社交工程更具欺骗性,使团队难以察觉其真实意图。

伪装专业:从群聊讨论到生态集成

在初步建立联系后,攻击者通过Telegram组织群组,围绕交易策略与金库集成展开持续沟通。据报告,该组织在2025年12月至2026年1月期间提交了包含战略细节的集成申请,并在数月内投入超过百万美元自有资金。他们提出的技术问题极为详尽,展现出高度专业性,进一步加深了团队对其合法性的认同。直至2026年2月至3月,相关讨论仍在推进,期间多名成员曾在多个重要活动中与之共事,关系已从“潜在合作伙伴”演变为“熟识同行”。

恶意渗透:文件与代码中的致命漏洞

攻击者在交流过程中不断共享文件、链接及所谓项目资源,为后续入侵铺路。这些文件可能被植入FUD(完全不可检测)加密病毒或捆绑恶意代码,伪装成PDF、PNG等常见格式,一旦打开即在后台静默执行指令。对于开发人员而言,此类攻击尤为危险——若在前端部署环节克隆了被污染的代码库,或下载了伪装成测试应用的恶意程序,系统将瞬间暴露于控制之下。此外,已有记录显示,2025年12月至2026年2月间,VSCode与Cursor编辑器存在未修复的代码执行漏洞,可实现无提示运行任意代码,成为攻击入口之一。

溯源追踪:朝鲜关联威胁行为者的行动模式

根据SEALS 911团队调查,此次攻击极有可能由曾负责2024年10月Radiant Capital攻击的威胁实体所为,编号为UNC4736(又称AppleJeus或Citrine Sleet),其活动轨迹与朝鲜有关联。尽管参与线下会面者并非朝鲜公民,但链上资金流向与操作手法均与已知朝鲜黑客行为一致。中等到高度把握的归因判断基于多重证据支持,包括角色设定、通信模式及历史攻击模式复现。目前Mandiant仍在进行取证分析,最终结论待定。

教训与反思:安全防线的脆弱性

Drift团队使用隔离设备进行关键通信的做法,避免了更大规模资产损失。若恶意文件在核心服务器被执行,协议价值2.85亿美元的全部资产或将尽数蒸发。部分成员甚至在被入侵后仍不知情,反映出当前加密初创企业普遍存在的安全盲区。这一事件再次强调:定期审计、渗透测试与对任何合作保持适度怀疑,是抵御高级威胁的基本前提。无论项目大小,个体投资者亦需警惕类似手法,因为真正的风险往往藏于看似正常的互动之中。在数字资产世界里,唯有持续防御,才能避免成为下一个被曝光的案例。