Drift Protocol 表示，其在 4 月 1 日對平台的攻擊是經過數月的規劃與社交工程所致

摘要

• Drift 表示，攻擊者在使用惡意工具入侵貢獻者裝置之前，花了六個月來建立信任。
• 交易所將該漏洞的利用方式，依據中高信心度，連結到先前 Radiant Capital 在 2024 年 10 月遭受駭擊背後的行為者。
• Drift 表示，攻擊者在加密活動中反覆進行面對面接觸，協助其研究貢獻者並取得存取權限。

這家去中心化交易所將此案連結至一個花時間先與貢獻者建立信任、再送出惡意工具與連結的團體。外部估計指出，損失約為 2.8 億美元。

Drift Protocol 表示，其早期審查發現針對平台的一場冗長且有組織的行動。該團隊表示，攻擊者在行動期間展現出「組織支援、資源，以及數月的蓄意準備」。

交易所表示，接觸大約始於 2025 年 10 月。根據 Drift 的說法，假扮成量化交易公司的成員的人士在一場大型加密會議上接近貢獻者，並聲稱他們想要與該協議整合。

面對面的會面讓信任隨時間累積

Drift 表示，該團體在接下來的六個月內於多個產業活動持續與貢獻者會面。該團隊表示，參與其中的人在技術上很有能力、知道 Drift 的運作方式，並且看起來確實具有真實的專業背景。

這種持續接觸幫助該團體建立信任。Drift 表示，攻擊者之後使用與貢獻者分享的惡意連結與工具，入侵裝置、執行漏洞攻擊，並在遭突破後移除其活動痕跡。

此外，Drift 表示，其「中高信心」認為，與 2024 年 10 月 Radiant Capital 遭駭所涉的相同行為者執行了此次攻擊。先前那次攻擊造成約 5,800 萬美元的損失，且同樣涉及用於取得內部系統存取權的惡意程式。

Radiant Capital 在 2024 年 12 月表示，一名與北韓陣營有所關聯的駭客假扮為前承包商，並透過 Telegram 送出惡意程式。Radiant 表示，「這個 ZIP 檔案」其後在開發者間擴散以進行回饋，並為入侵鋪平道路。

Drift 警告：會議可能成為攻擊目標

Drift 表示，與貢獻者面對面接觸的人「並非北韓籍人士」。同時，該團隊表示，與 DPRK（北韓）相關的威脅行為者常使用第三方中介，進行面對面的接觸與建立關係。

該交易所表示，目前正與執法單位以及其他加密產業參與者合作，建立一份完整的 4 月 1 日攻擊紀錄

此案也為加密公司帶來一項新的警示，因為會議與面對面會談可能讓威脅團體有機會研究團隊、建立信任，並為後續攻擊做準備。