Drift黑客事件初步調查：疑似朝鮮關聯組織策劃半年滲透行動

BlockBeats 訊息，4 月 5 日，據官方消息，Drift 表示正在與執法機構、取證合作夥伴及生態團隊合作，全面調查 2026 年 4 月 1 日發生的駭客攻擊事件。目前所有協議功能已被暫停，受影響的錢包已從多簽中移除，攻擊者地址也已在交易平台和跨鏈橋中被標記。安全公司 Mandiant 已介入調查。初步結果顯示，此次攻擊並非短期行為，而是一次持續約 6 個月、具備組織化背景與充足資源支持的情報滲透行動。早在 2025 年秋季，一批自稱量化交易公司的成員便在多個國際加密會議上接觸 Drift 團隊成員，並在此後數月中持續建立關係、展開合作，甚至在平台內投入超 100 萬美元資金以建立可信度。

調查發現，這些成員具備專業背景和技術能力，透過 Telegram 群組與團隊長期溝通交易策略及產品整合，並多次在現場的線下會議中與核心貢獻者會面。在 2026 年 4 月攻擊發生後，相關聊天記錄及惡意軟體被迅速清除。Drift 認為，此次入侵可能透過多個路徑實施，包括誘導團隊成員複製（clone）帶有惡意程式碼的倉庫，或下載偽裝成錢包產品的測試應用。此外，攻擊還可能利用了當時安全社群已警告的 VSCode 與 Cursor 漏洞，在使用者無感知的情況下執行惡意程式碼。

基於鏈上資金流及行為模式分析，安全團隊初步判斷該行動與 2024 年 Radiant Capital 攻擊事件背後的威脅組織有關；該組織被歸因於朝鮮背景駭客團體（如 UNC4736 / AppleJeus）。值得注意的是，線下接觸的成員並非朝鮮籍，而是第三方中間人。Drift 表示，攻擊者構建了完整且可信的身分體系，包括職業履歷與公開背景，以透過長期接觸取得信任。目前調查仍在進行中，團隊呼籲產業加強設備安全審查與權限管理。