Drift Protocol：开始制定复苏计划，参与 STRIDE 安全计划

Drift Protocol 于 4 月 8 日在 X 平台发布事件最新进展，表示目前正积极与合作方制定协调一致的复苏计划，现阶段工作重心为稳定局势，并为所有受影响用户和合作伙伴提供协议级别的保障。此外，Drift Protocol 宣布将参与 Solana 基金会旗下安全计划 STRIDE，后续将公布更多详情。

复苏计划现况：稳定局势为当前首要任务

Drift Protocol 强调，复苏计划的制定涉及合作伙伴、受影响用户及生态系统合作方的多方协调，目前优先事项在于“稳定局势”，确保受影响用户在协议层面获得保障，并研究后续补偿与恢复方案。

参与 STRIDE 计划是 Drift Protocol 安全强化路线图的重要组成部分。STRIDE 由 Asymmetric Research 主导、Solana 基金会资助，提供独立安全评估、全天候主动威胁监控（针对 TVL 逾 1,000 万美元的协议），以及形式化验证服务（针对 TVL 逾 1 亿美元的协议）。

攻击复盘：六个月情报渗透行动详解

此次攻击并非传统技术漏洞利用，而是一场融合社会工程学与技术入侵的复合行动。攻击者以“对整合有兴趣的量化交易公司”为伪装，在去年秋季一次大型行业会议上主动接触目标人员，随后通过线下会面与 Telegram 沟通逐步建立信任。在实施攻击前，攻击方甚至将 100 万美元的自有资金存入平台金库以强化可信度，行动完成后随即销声匿迹。

攻击手法的技术路径

恶意代码库植入：通过供应链路径在开发环境中嵌入恶意代码，实现静默执行

伪造应用程序：以外观合法的工具诱导贡献者下载并执行恶意程序

开发工具漏洞利用：针对开发流程的薄弱环节达成静默代码执行效果

社会工程学渗透：使用第三方中介执行线下会面，规避直接的国籍识别风险

Drift Protocol 指出，进行线下接触的人员并非朝鲜公民，此类具有国家背景的行动者通常通过第三方中介执行现场渗透任务。

AppleJeus 归因：北韩情报组织的数字攻击足迹

Drift Protocol 以中高置信度将本次攻击归因于威胁组织 AppleJeus（又名 Citrine Sleet）。网络安全公司 Mandiant 此前已将该组织与 2024 年针对 Radiant Capital 的黑客攻击相关联。事件回应人员表示，链上分析与身份重叠模式均指向北韩相关人员的参与，但 Mandiant 目前尚未正式确认这一归因。

一位区块链安全公司的策略主管指出，加密货币团队当前面临的对手更像是“情报机构”而非传统黑客，而此次事件凸显的核心安全问题，并非交易签署者的数量，而是“对交易意图缺乏根本性的理解”，导致签署者被诱骗批准恶意操作。

行业警示：DeFi 生态或已广泛受到渗透

一位参与此次调查的安全研究人员表示，DeFi 生态系统可能已广泛受到此类行为者的渗透，并推测相关组织长期以来已参与影响多个协议。这一说法意味着 Drift Protocol 的攻击可能并非孤立事件，而是更大规模持续性渗透行动的其中一环，整个去中心化金融生态的安全防御架构面临根本性的反思压力。

常见问题

Drift Protocol 2.85 亿窃案的复苏计划进展如何？

Drift Protocol 表示正积极与合作方制定协调一致的复苏计划，现阶段重心是稳定局势并为所有受影响用户及合作伙伴提供协议级别的保障，并宣布将参与 Solana 基金会旗下的 STRIDE 安全计划，后续详情将另行公布。

Drift Protocol 是如何遭受攻击的？

攻击者以量化交易公司为伪装，历时六个月通过线下会面与社会工程学渗透建立信任，并预先存入 100 万美元真实资金以增加可信度，最终通过恶意代码库、伪造应用程序与开发工具漏洞实施静默代码执行，窃取约 2.85 亿美元。

此次攻击与北韩情报组织的关联是否已确认？

Drift Protocol 以中高置信度将攻击归因于 AppleJeus 威胁组织，链上分析与身份重叠模式指向北韩相关人员参与。然而，网络安全公司 Mandiant 目前尚未正式确认这一归因。