索拉纳-基于去中心化交易所Drift Protocol 周日表示，此次攻击导致该平台损失约 2.85 亿美元，是由一个与朝鲜国家有关联的威胁组织精心策划的为期六个月的情报行动。

　　攻击者利用伪造的职业身份、线下会议和恶意开发者工具，在项目启动前就已对贡献者进行入侵。执行排水该协议在一份文件中指出：事件详细进展.

　　— Drift 2026年4月5日

　　“加密团队现在面临的对手更像是情报机构而非黑客，而大多数组织在结构上并没有做好应对这种威胁的准备，”区块链安全公司Cyvers的战略副总裁迈克尔·珀尔表示。解密.

　　Drift 表示，该组织去年秋天在一次大型加密货币会议上首次接触了贡献者，当时他们以量化交易公司的身份出现，寻求与该协议整合。

　　几个月来，该组织通过面对面会议、Telegram 协调建立了信任，在 Drift 上开设了生态系统金库，并投入了 100 万美元的自有资金到金库中，但当漏洞被利用时，他们却消失了，聊天记录和恶意软件也被“彻底清除”。

　　DEX表示，此次入侵可能涉及恶意代码库、伪造的TestFlight应用程序以及VSCode/Cursor漏洞，该漏洞允许在无需用户交互的情况下静默执行代码。

　　Drift 以“中高置信度”将此次攻击归因于 UNC4736，该组织也被称为 AppleJeus 或 Citrine Sleet——网络安全公司 Mandiant 已将该组织与 2024 年的事件联系起来，认为其与朝鲜官方有关联。Radiant Capital 黑客.

　　Drift 表示，与捐助者见面的人并非朝鲜国民，并指出与朝鲜有关联的人员通常依靠第三方中间人进行“面对面接触”。

　　据事件响应机构 SEAL 911 称，链上资金流动和重叠的角色指向与朝鲜有关联的行为者，但 Mandiant 平台指出，在进行取证之前，Mandiant 尚未确认归属。

　　安全研究员 @tayvano_ 是 Drift 感谢协助识别恶意行为者的专家之一，他表示此次事件的影响范围远远超出了本次事件本身。

　　在鸣叫这位专家列举了数十个例子。去中心化金融协议方面声称，“朝鲜的 IT 工作人员构建了你们所熟知和喜爱的协议，可以追溯到 DeFi 夏季。”

　　 行业影响

　　Pearl指出：“Drift和Bybit事件都凸显了同样的模式——签名者并非在协议层面直接遭到攻击，而是被诱骗批准了恶意交易。核心问题不在于签名者的数量，而在于对交易意图缺乏理解。”

　　他说多重签名钱包虽然比单密钥控制有所改进，但现在却造成了一种虚假的安全感，引入了一种“悖论”，即共同责任降低了对签名者的审查。

　　Pearl表示：“安全必须转移到区块链层面的交易前验证，即在执行之前对交易进行独立模拟和验证。”他还补充说，一旦攻击者控制了用户看到的内容，唯一有效的防御措施就是验证交易的实际操作，而不管界面如何。

　　Lavid 表示，关于开发者工具作为攻击面的问题，这种假设必须从根本上改变。

　　“你必须假设终端已被入侵，”他说道。解密指出 IDE、代码库、移动应用程序和签名环境正日益成为常见的入口点。

　　“如果这些基础工具存在漏洞，那么向用户展示的任何内容都可能被操纵，”这位专家表示，并指出这“从根本上打破了传统的安全假设”，导致团队无法信任“界面、设备，甚至签名流程”。