新聞 
幣種資訊 
關於我們 
根據外媒報導,於 1 日(當地時間),去中心化衍生品協議「Drift Protocol」遭遇長達半年佈局的「信任型滲透攻擊」,約 2.7 億美元(約 4,077 億韓元)資金遭到盜取。此次事件被指與北韓支持的駭客組織有關,顯示「多重簽名」與「社交工程」結合的攻擊模式,已成為去中心化金融(DeFi)領域的新風險焦點。「詞:Drift Protocol」、「詞:DeFi」、「詞:多重簽名」、「詞:社交工程」
Drift 團隊公開的事故報告指出,整起攻擊可追溯至 2025 年秋季的一場大型加密貨幣會議。當時,攻擊者以「量化交易公司」身分接近 Drift 團隊,主動提出合作構想。他們展現出相當紮實的技術背景與履歷,經過基本查核後並無明顯疑點,成功跨過了第一道「信任門檻」。
之後數個月內,雙方透過 Telegram 頻道持續溝通,討論交易策略與金庫(Vault)整合等細節,整體流程與一般 DeFi 專案的機構級用戶導入過程幾乎無異。2025 年 12 月至 2026 年 1 月期間,該團隊更進一步實際參與 Drift 生態系,存入超過 100 萬美元資金,並以此營運「生態系金庫」,在鏈上營造出「真實參與者」的活動足跡。
2026 年 2 月與 3 月,多場分別於多國舉行的加密會議上,雙方成員還曾多次線下面對面交流。至 4 月 1 日攻擊正式啟動時,Drift 與該團隊的互動關係已持續近半年,合作與信任程度都達到相當深的水平,成為後續入侵行動得以「無聲完成」的關鍵基礎。
此次攻擊主要透過兩條路徑展開。第一條路徑鎖定開發環境。攻擊者向 Drift 分享 GitHub 儲存庫,藉口進行內部程式碼檢視,實際上卻在其中埋入惡意程式碼。報告指出,此次事件疑似利用了 VSCode 與 Cursor 的既有漏洞——自 2025 年底起,資安圈就曾警告,某些情境下只要開啟特定檔案或資料夾,就可能在毫無警示的情況下觸發程式碼執行,堪稱「致命級」問題。
第二條路徑則指向行動裝置。攻擊者透過蘋果 TestFlight 渠道,提供一款看似正常的錢包應用程式,部分用戶在安裝後,被默默授予裝置層級的存取權限。這種方式繞過了傳統針對桌面端與瀏覽器的防護機制,讓攻擊面延伸至手機與平板。「詞:TestFlight」、「詞:惡意錢包」
當裝置陸續遭到掌控後,攻擊者逐步取得多重簽名(multisig)控制權。Drift 表示,攻擊者並未立刻動手,而是將預先簽署完成的交易維持在「待執行狀態」超過一週,直到 4 月 1 日才在短短一分鐘內批次送出所有交易。最終,約 2.7 億美元資金自協議金庫被迅速抽走,多重簽名結構形同被繞過防線,未能有效阻擋本次攻擊。
評論:這類先潛伏、後集中出手的操作,降低了鏈上異常行為在平時被發現的機率,也讓監控系統在關鍵當下幾乎沒有反應時間。
針對攻擊背後主使,報告與多家區塊鏈分析機構皆指向與北韓相關的駭客組織「UNC4736」,該組織也被稱為「AppleJeus」或「Citrine Sleet」。鏈上資金流向顯示,本次事件與過去針對 Radiant Capital 等專案的攻擊存在關聯,且整體行動模式與既有北韓國家級駭客集團高度相似,包括長期社交工程、假身分滲透、使用多重跳板錢包清洗資金等手法。
值得注意的是,實際在會議現場與 Drift 團隊接觸的人員,並非北韓籍人士。報告指出,這類高階攻擊組織通常會聘用具備專業背景、持有完整偽造身分的「中介代理」,以實體化身出現在產業活動中,進一步強化其可信度。「詞:UNC4736」、「詞:AppleJeus」
本次事件也對 DeFi 長期倚賴的「多重簽名安全模型」提出嚴重質疑。多數協議過去預設:只要多位簽署者彼此獨立、私鑰不集中於單點,便足以大幅降低風險。然而 Drift 指出,當攻擊者可以花費六個月時間滲透,並像真正的機構投資者一般投入資金、參與治理與會議,傳統針對私鑰與程式碼層面的防禦,就難以偵測到其「人際關係與信任網路」中的異常。
Drift 呼籲其他協議重新檢視「權限管理」與「裝置安全」,強調必須將所有多重簽名參與者的設備一律視為「潛在攻擊目標」。不僅要加強端點防護與操作流程審計,也應考慮引入「行為異常偵測」與「延遲執行與社群審查機制」,以降低單次大額交易在短時間內被惡意觸發的風險。
評論:本次事件凸顯,DeFi 面臨的最大風險已不僅是智慧合約漏洞,而是「以人為突破口的綜合攻擊」。當攻擊者能同時扮演投資人、合作夥伴與技術貢獻者,現有安全模型若仍只聚焦在鏈上與程式碼層面,將難以應對下一波國家級攻擊行動。
這場「Drift Protocol 攻擊事件」最終將被視為一個示警:在多重簽名與去中心化治理廣泛被視為安全標準的當下,「信任本身」已成為新的攻擊面。「詞:多重簽名安全模型」、「詞:去中心化治理」
留言 0