北韓駭客長年潛伏 DeFi？Drift Protocol 遭駭揭「假求職真滲透」安全破口

北韓駭客疑長期「潛伏」DeFi 業界，Drift Protocol 遭駭事件被指只是冰山一角。近期有分析指出，北韓相關駭客與 IT 人員疑似以「假求職、真滲透」方式，在加密貨幣與去中心化金融（DeFi）生態中埋伏多年，*北韓駭客*、*Drift Protocol*、*DeFi 安全* 等議題再度引發關注。

根據加密錢包 MetaMask 開發者兼資安研究員泰勒·莫나漢（Taylor Monahan）於 6 日（當地時間）公開的調查內容，北韓 IT 人員疑似已潛入超過 40 個去中心化金融平台，其中不乏行業內知名的 DeFi 項目。她表示，這些人滲透的時間點，大多可以追溯到 2020 年前後，也就是 DeFi 生態快速膨脹、被稱為「DeFi Summer」的那一波熱潮開始時期。

更具警示意味的是，這些北韓相關人員在履歷中聲稱擁有「7 年區塊鏈開發經驗」，莫納漢指出，這並非空穴來風，部分人確實有參與協議開發與*協議部署*等核心工作。表面上，他們是普通開發者，但實際上更像是經過多年布局的「長期滲透者」，以工程師身分深入掌握專案內部架構與權限。

*北韓駭客組織*「拉撒路集團」（Lazarus Group）長年被視為平壤主導的國家級網路攻擊團隊，根據創作者社群網路 R3ACH 的分析數據，自 2017 年以來，該組織被懷疑透過各類*加密貨幣*攻擊共竊取約 70 億美元資金，顯示其規模與持續性遠超一般駭客團隊。

多起重大攻擊事件都被外界認為與拉撒路集團有關。代表性案例包括：2022 年針對羅寧橋（Ronin Bridge）的約 6.25 億美元駭侵事件；2024 年印度交易所 WazirX 遭盜約 2.35 億美元資產；以及 2025 年加密交易所 Bybit 遭竊約 14 億美元。這些動輒數億、甚至逾十億美元級別的攻擊紀錄，凸顯*加密貨幣交易平台*與 DeFi 協議在結構性安全上仍極為脆弱。

此次 Drift Protocol 遭駭案之所以格外受矚目，除了金額逾 2.8 億美元之外，更關鍵的是出面與專案團隊進行線下或實際接觸的人員，並非北韓籍身份。根據 Drift Protocol 官方說法，相關面對面會談多是透過第三方中介完成，這些中介者充當了*身份掩護*與*接觸窗口*。

這類滲透者往往以精心偽造的身份登場：使用虛假姓名、包裝過的工作經歷，甚至搭配看似「人脈可靠」的背書與推薦，以此取得團隊信任。與傳統單純依賴惡意程式碼、釣魚郵件的攻擊相比，現在更偏向利用「人」本身作為突破點，透過*社交工程*與就業程序，逐步取得開發權限與系統存取能力。*評論：這意味著單靠技術防火牆與程式碼審計，已難以完全阻擋此類攻擊路徑。*

知名鏈上調查員 ZachXBT 則提醒，所謂「求職式滲透」並非多麼高深的黑科技。對方通常只需要透過 LinkedIn 等職涯社群發送訊息、安排視訊面試、順利通過基本招募流程，就能進入專案內部。他指出，這套模式技術門檻不高，但只要持續、系統性地重複，就足以在少數防備鬆散的團隊身上奏效。

ZachXBT 更直言，「如果到了 2026 年，仍然有公司在這種手法下中招，那幾乎可以說是疏忽大意。」他建議，從事*加密貨幣服務*或 DeFi 開發的團隊，應主動比對美國財政部海外資產控制辦公室（OFAC）的制裁名單資料庫，將其中涉及北韓 IT 人員或相關實體納入內部稽核流程，並透過交叉比對履歷、IP、付款帳戶等資訊，辨識疑似與 IT 詐騙與國家級駭客相關的模式。

這起 Drift Protocol 駭侵事件，再次提醒業界，*加密貨幣安全*從來不只等於「程式碼沒有漏洞」。若要有效降低大型攻擊風險，必須同時從*智慧合約審計*、*招募流程把關*、*外包與合作夥伴驗證*、以及*面對面身份確認機制*等多個層面全面強化內部控管。*評論：對於倚重遠端開發與匿名協作的區塊鏈行業而言，如何在去中心化文化與嚴格合規審查之間取得平衡，將成為未來幾年安全治理的核心課題。*

總結而言，Drift Protocol 遭駭讓市場看見，北韓相關駭客不再只是「遠端攻擊者」，更可能是已在團隊內部工作多年的「同事」。在*北韓駭客*、*Lazarus Group* 持續針對*DeFi 平台*與*加密資產*展開攻擊的背景下，整個產業若不正視人員審查與治理架構的缺口，下一個 2 億或 10 億美元級別的攻擊事件，恐怕只是時間問題。