BlockBeats 消息,4 月 5 日,据官方消息,Drift 表示正在与执法机构、取证合作伙伴及生态团队合作,全面调查 2026 年 4 月 1 日发生的黑客攻击事件。目前所有协议功能已被暂停,受影响的钱包已从多签中移除,攻击者地址也已在交易平台和跨链桥中被标记。安全公司 Mandiant 已介入调查。初步结果显示,此次攻击并非短期行为,而是一次持续约 6 个月、具备组织化背景与充足资源支持的情报渗透行动。早在 2025 年秋季,一批自称量化交易公司的人员便在多个国际加密会议上接触 Drift 团队成员,并在此后数月中持续建立关系、展开合作,甚至在平台内投入超 100 万美元资金以建立可信度。
调查发现,这些人员具备专业背景和技术能力,通过 Telegram 群组与团队长期沟通交易策略及产品整合,并多次在线下会议中与核心贡献者会面。在 2026 年 4 月攻击发生后,相关聊天记录及恶意软件被迅速清除。Drift 认为,此次入侵可能通过多个路径实施,包括诱导团队成员克隆带有恶意代码的仓库,或下载伪装成钱包产品的测试应用。此外,攻击还可能利用了当时安全社区已警告的 VSCode 与 Cursor 漏洞,在用户无感知情况下执行恶意代码。
基于链上资金流及行为模式分析,安全团队初步判断该行动与 2024 年 Radiant Capital 攻击事件背后的威胁组织有关,该组织被归因于朝鲜背景黑客团体(如 UNC4736 / AppleJeus)。值得注意的是,线下接触的人员并非朝鲜籍,而是第三方中间人。Drift 表示,攻击者构建了完整且可信的身份体系,包括职业履历与公开背景,以通过长期接触获取信任。目前调查仍在进行中,团队呼吁行业加强设备安全审查与权限管理。
