Drift 协议黑客事件：假量化公司潜伏六个月致 2.85 亿美元损失

Drift 协议黑客事件（Drift Protocol hack）并非一次性“瞬间被黑”，而是对手在六个月内逐步渗透完成。2025 年秋季起，攻击团伙假扮量化交易公司，通过跨国线下见面和高度“入职式”的沟通流程建立信任，而不是直接窃取密钥。 对方在第一天就创建了 Telegram 群组。到 2025 年 12 月，团伙完成生态金库（Ecosystem Vault）接入，并投入超过 100 万美元自有资金。到 2026 年 2 月，贡献者已将其视为真实业务关系。 2026 年 4 月 1 日，Drift 表示攻击者将既有访问权限转化为实际漏洞利用：Telegram 对话消失，受影响设备上的恶意软件被清除，最终造成 2.85 亿美元被转走——且在此之前系统已处于被动暴露状态。 Drift 提出三类可能切入方式：（1）伪装为“金库前端”的克隆代码仓库；（2）诱导贡献者安装以“钱包产品”为名的 TestFlight 应用；（3）利用 2025 年 12 月至 2026 年 2 月期间被提示过的 VSCode/Cursor 已知漏洞——打开文件/文件夹即可在无提示情况下静默执行任意代码。 归因方面，Drift 以“中等偏高置信度”将该行动与此前 2024 年 10 月 Radiant Capital 攻击指向的同一威胁组织关联，涉及朝鲜（DPRK）国家关联活动（UNC4736/AppleJeus/Citrine Sleet）。设备取证与 Mandiant 的正式归因仍在推进。 应对措施：Drift 冻结剩余所有协议功能，从多签中移除受损钱包，并向交易所/桥接运营商标记攻击者地址。Drift 也呼吁可能遭遇同一团伙的团队联系 SEAL911。对交易者而言，这起 Drift Protocol hack 再次凸显 DeFi 金库中“智能合约安全 + 信任层被攻破”的系统性风险，短期内可能压制 DRIFT 的市场情绪。