Drift Protocol公布2.85亿美元攻击事件初步调查结果

公司确认，2026年4月1日发生的重大安全事件并非由突发漏洞引发，而是一场持续约六个月、高度策划的专业化渗透行动。目前，Drift正联合执法机构、数字鉴证团队及生态利益相关方，深入排查事件全貌。

长期隐蔽渗透暴露战略级攻防特征

调查显示，攻击者自2025年秋季起便系统性地与Drift核心成员建立联系，伪装为一家量化交易机构代表。通过在多国举办的加密行业会议中进行面对面交流，逐步塑造出可信的商业合作形象。双方在Telegram上就产品集成与策略设计展开频繁互动。为强化伪装，攻击者投入超百万美元于平台内创建活跃交易行为，并发起名为“生态金库”的项目。这一长时间、高成本的布局表明，攻击者在心理操控与技术嵌入层面均具备成熟作战能力。

复合型技术入侵路径揭示精密战术部署

技术溯源显示，攻击手段涵盖多重向量：一名团队成员在克隆攻击者提供的前端代码库后，其设备疑似被植入恶意程序；另一成员下载了伪装成TestFlight钱包的应用程序，导致终端感染风险。此外，调查人员关注2025年末至2026年初可能被利用的VSCode与Cursor开发工具漏洞。值得注意的是，所有通信痕迹与恶意软件均在攻击发生后立即清除，凸显此次行动具备高度预谋与反追踪能力。

关联历史案件指向国家支持型威胁实体

基于现有证据，公司评估认为本次攻击与2024年针对Radiant Capital的网络攻击存在显著关联。该历史事件已被确认由编号为UNC4736、与朝鲜情报部门有关的组织主导。Drift特别指出，参与线下接触的个体可能并非朝鲜本国公民，此类国家背景的黑客团体通常借助第三方代理实现物理接触，以规避直接关联风险。

应急响应机制启动，溯源工作持续推进

事件发生后，Drift Protocol已全面暂停协议核心功能，并将受波及的钱包地址从多重签名体系中移除。攻击者相关地址已被主流交易所与跨链桥运营方标记。平台正与Mandiant等专业机构合作推进技术溯源分析。基于终端设备的取证仍在进行中，后续关键发现将依序对外通报。