Drift黑客事件初步调查报告：疑似朝鲜关联组织策划的半年渗透行动

4月5日，区块链生态系统中的重要一员Drift宣布遭遇了一次重大黑客攻击事件，具体发生于2026年4月1日。在官方消息发布之后，社会各界对此次安全事件的关注度持续升温。Drift团队正与执法机构、取证合作伙伴及生态团队紧密合作，展开全面调查。所有协议功能已暂停，受影响的钱包已被移除多签管理，而攻击者地址也在交易平台和跨链桥中被实时标记。此次事件不仅给区块链领域敲响了警钟，同时也暴露了黑客组织策划的复杂性和策略性。

安全公司Mandiant已经介入调查，初步报告显示这次黑客攻击并非临时起意的小打小闹，而是一次精心策划、持续数月且资源丰富的情报渗透行动。早在2025年秋季，一批自称为量化交易公司的人员便开始在国际加密会议上接近Drift团队成员，随后几个月内不断建立联系、合作并投资超100万美元以增强其可信度。

调查发现这些人员具备极高的专业背景和技术能力，他们通过Telegram群组与Drift团队保持长期沟通，讨论交易策略和产品整合问题。在多次线下会议中，核心贡献者甚至与这些“合作伙伴”会面。然而，当2026年4月攻击发生之后，相关聊天记录和恶意软件被迅速清理。Drift推测，黑客入侵可能通过多种路径实现，包括诱导团队成员克隆带有恶意代码的仓库或者下载伪装成钱包产品的测试应用。此外，攻击还可能利用了当时安全社区已警告的VSCode与Cursor漏洞，在用户无感知的情况下执行恶意代码。

根据链上资金流和行为模式的分析结果，Drift的安全团队初步判断此次行动与2024年发生的Radiant Capital攻击事件背后的威胁组织有关联。这一组织已被归因于朝鲜背景的黑客团体（如Uncleared Unclassified Cyber Operations 4736 / AppleJeus）。值得注意的是，参与线下接触的人员并非来自朝鲜，而是第三方中间人。Drift认为，黑客通过构建完整且可信的身份体系，包括职业履历和公开背景，以长期接触的方式获取信任。

目前，调查活动仍在进行中。团队呼吁整个区块链行业必须增强设备安全审查与权限管理，以防类似事件再次发生。同时，这也提醒了加密生态系统的其他参与者，要时刻警惕潜在的攻击者，并采取必要的安全措施来保护自己的资产和声誉。在数字化时代，网络安全不仅关系到企业的财务安全，更关乎到社会的稳定与进步。因此，加强信息安全意识、建立高效的信息安全管理体系刻不容缓。