Solana基础的 去中心化交易所 Drift Protocol 在周日表示，导致平台损失约2.85亿美元的攻击是由一个与朝鲜国家相关的威胁团体进行的为期六个月的结构化情报行动。

协议表示，攻击者使用伪造的专业身份、面对面的会议和恶意开发工具来妥协贡献者，然后 执行资金转移，在一份 详细事件更新中提到。

区块链安全公司Cyvers的战略副总裁Michael Pearl告诉 Decrypt：“加密团队现在面临的对手更像情报单位，而不是黑客，而大多数组织在结构上未准备好应对这种级别的威胁。”

Drift表示，该团体在去年秋天的一个主要加密会议上首先接触了贡献者，表现得像一个寻求与协议整合的量化交易公司。

数月间，该团体通过面对面会议、Telegram协调建立信任，在Drift上启动了生态系统金库，并以其自有资本进行了100万美元的金库存款，然而在攻击发生时突然消失，聊天记录和恶意软件被“完全清除”。

该去中心化交易所表示，这次入侵可能涉及恶意代码库、假冒的TestFlight应用程序和一个使得没有用户交互即可静默执行代码的VSCode/Cursor漏洞。

Drift以“中高信心”将此次攻击归因于UNC4736，也被称为AppleJeus或Citrine Sleet——同样被网络安全公司Mandiant与2024年的 Radiant Capital黑客事件关联的朝鲜国家相关团体。

Drift表示，直接与贡献者会面的个人并非朝鲜国籍，指出与朝鲜民主主义人民共和国相关的行为者通常依赖第三方中介进行“面对面接触”。

依据事件响应者SEAL 911的说法，链上资金流动和重叠的人物指向与朝鲜民主主义人民共和国相关的行为者，尽管Mandiant尚未确认归因，待法医调查确定，该平台指出。

安全研究人员@tayvano_，是Drift在识别恶意行为者时致谢的专家之一，建议曝光的范围远超此次事件。

在一条 推文中，这位专家列出了数十个 去中心化金融协议，声称“朝鲜民主主义人民共和国的信息技术工作人员建造了你所知道和喜爱的协议，早在去中心化金融的夏天。”

行业影响

Pearl指出：“Drift和Bybit突显了同样的模式——在协议层面上，签署者并没有直接受到妥协，他们被欺骗以批准恶意交易。关键问题不在于签署者的数量，而在于对交易意图的理解不足。”

他说，虽然多签名钱包相较单钥控制有所改善，但现在却造成了一种虚假的安全感，带来了“悖论”，在这种情况下，共享责任降低了签署者之间的审查。

“安全性必须向区块链层面的交易前验证转变，在执行之前独立模拟和验证交易，”Pearl表示，并补充道，一旦攻击者控制了用户所看到的内容，唯一有效的防御是验证交易实际执行的内容，而不管界面如何。

关于开发者工具作为攻击面，Lavid表示，假设必须从根本上进行改变。

“你必须假设终端已被妥协，”他告诉 Decrypt，指出IDE、代码库、移动应用程序和签署环境是日益常见的入口点。

“如果这些基础工具存在漏洞，用户看到的任何东西——包括交易——都可以被操控，”这位专家表示，并指出这“根本打破了传统的安全假设”，让团队无法信任“界面、设备或甚至签署流程。”

免责声明：本文章仅代表作者个人观点，不代表本平台的立场和观点。本文章仅供信息分享，不构成对任何人的任何投资建议。用户与作者之间的任何争议，与本平台无关。如网页中刊载的文章或图片涉及侵权，请提供相关的权利证明和身份证明发送邮件到support@aicoin.com，本平台相关工作人员将会进行核查。