基于Solana的去中心化交易平台Drift Protocol上周遭遇重大安全漏洞,损失金额超过2.8亿美元。该平台在4月1日检测到异常活动,确认黑客通过劫持“安全委员会”行政权限,在短短12分钟内迅速抽干了用户资产。
伪装身份的长期渗透
Drift Protocol在调查报告中指出,此次攻击并非突发事件,而是黑客精心准备至少六个月的成果。黑客伪装成一家量化交易公司,在多个国家举办的行业加密货币大会上多次与Drift的贡献者进行面对面接触。
“我们现在了解到,这是一次针对性的渗透,”Drift官方表示,“该团伙成员在随后的六个月里,通过全球多个大型行业会议,蓄意寻找并接触特定的Drift贡献者。”
黑客通过Telegram与目标保持密切沟通,讨论交易策略和金库集成。由于其表现出极高的技术专业度,且对Drift的运行机制非常熟悉,这些互动看起来与交易公司与平台之间的常规对接并无二致。据称,该Telegram群组在盗窃发生后立即被解散。
区块链情报公司Elliptic和TRM Labs的调查显示,此次攻击具备朝鲜黑客组织的典型特征。Drift方面以中高置信度推测,攻击者为UNC4736组织(又名AppleJeus或Labyrinth Chollima)。该组织此前已被Mandiant关联至著名的Lazarus集团,并与2023年3CX供应链攻击及2024年Radiant平台5000万美元被盗案有关。
尽管幕后主使指向朝鲜,但Drift指出,在会议现场与贡献者面对面交流的执行者并非韩国人,而是由非韩国籍的中间人担任。
目前,Drift Protocol的所有功能仍处于冻结状态,受影响的钱包已被从多重签名流程中移除。平台已将黑客使用的钱包地址通报至各交易所及跨链桥运营商,旨在拦截资金转移。调查仍在继续,目前平台怀疑黑客是通过共享恶意代码库(可能利用了VSCode/Cursor漏洞)或通过伪装成钱包产品的恶意TestFlight应用,实现了对关键贡献者的权限窃取。
