Drift协议遭协同攻击：2.7亿美元损失暴露信任链漏洞

Drift协议近日通报，其去中心化交易所遭遇一场持续六月、高度组织化的复合型攻击，涉及长期社会工程与技术渗透。此次事件始于4月1日，最终导致约2.7亿至2.8亿美元资产流失。官方声明指出，该行动具备明显间谍特征，需机构资源支持及数月精密策划。

攻击者以合规身份潜伏，逐步获取生态信任

据调查，攻击者最早于2025年10月在一场大型加密会议中接触项目团队，伪装成一家量化交易公司，表达集成意愿。此后数月内，他们通过技术协作、资金部署与定期会议等方式深度嵌入生态，累计投入超百万美元，并获得金库接入权限。其行为模式与正常合作伙伴无异，成功建立可信形象。

双路径渗透：利用测试分发与开发工具漏洞

攻击核心依赖双重入口：一是通过伪装成合法应用的TestFlight测试版，规避苹果预发布审查；二是利用VSCode与Cursor等主流开发工具已知漏洞，实现文件打开即触发静默代码执行。上述手段使攻击者得以控制贡献者设备，进而窃取多签授权。预先签署的交易在激活前隐藏超过一周，最终在一分钟内完成金库清空。

疑似朝鲜关联组织介入，采用中介代理策略

Drift表示有中高概率确认本次攻击与2024年10月Radiant Capital事件背后的实体一致，该组织被标记为UNC4736（又称AppleJeus或Citrine Sleet），具备朝鲜背景特征。链上资金流向与攻击手法高度重合。但值得注意的是，公开会面人员并非朝鲜籍，表明攻击方通常委托第三方中介进行线下关系构建，以规避身份识别。

多签机制失效暴露信任模型根本性风险

本事件凸显多签治理的结构性脆弱——尽管其旨在分散风险，但前提是签名者设备始终处于安全状态。本案中，攻击者通过长达数月的渗透，掌控终端并等待最佳时机。预先签署交易大幅降低检测难度，使得一旦授权被窃取，即可迅速完成攻击。团队呼吁将所有与多签交互的设备视为潜在攻击面，强调当前基于信任协作的安全范式难以抵御长期、身份驱动型威胁。