我剛剛讀了一份相當令人不安的分析，關於最近 Drift Protocol 發生的事情。結果顯示，價值 2.7 億美元的漏洞並非一次隨機攻擊，而是一場由朝鮮核心情報部門精心策劃、持續約六個月的行動。

最令人擔憂的是他們的作案方式。一個與朝鮮政府有關聯的團體滲透進了 Drift 生態系統，假扮成一個量化交易公司。要了解 Drift 是什麼以及它的運作方式，你需要知道它是一個基於多重簽名安全的去中心化金融協議。這些攻擊者非常有耐心且技術高超。首先，他們在 2025 年秋季左右的一場重要加密貨幣會議上取得聯繫，假扮成交易專家。他們擁有可驗證的專業資格，能說出協議的技術語言，並且知道該說什麼。

數月來，他們與 Drift 團隊就策略和生態系統的資金庫進行了實質性對話，這在簽入 DeFi 協議的公司中是非常正常的行為。在 2025 年 12 月至 2026 年 1 月期間，他們加入了一個生態系統資金庫，與 Drift 合作夥伴進行了工作會議，存入超過一百萬美元的自有資金，並在生態系統內建立了操作關係。最勇敢的是，他們在 2 月和 3 月的多場重要會議中與 Drift 團隊面對面會晤。到 4 月攻擊發生時，這段關係已經持續了將近半年。

滲透是通過兩個技術向量完成的。首先，他們下載了一個 TestFlight 應用，這是蘋果平台用來分發未經安全審查的預發布應用的工具，並將其包裝成他們的錢包產品。其次，他們利用了 VSCode 和 Cursor 這兩個常用的開發編輯器中的已知漏洞，這些漏洞允許在打開文件時執行任意代碼而不會提示。一旦設備被攻陷，他們就獲得了進行 4 月 1 日攻擊所需的兩個多重簽名批准，短短不到一分鐘內就提取了 2.7 億美元。

研究人員將這一切歸因於 UNC4736，也被稱為 AppleJeus 或 Citrine Sleet，這是一個與朝鮮政府有關聯的團體。值得注意的是，與他們面對面會晤的個人並非朝鮮公民，而是身份完全偽造的中介人，擁有虛假的工作歷史和專業網絡，設計來通過任何驗證。

這暴露出對整個 DeFi 行業來說一個尷尬的事實：如果攻擊者願意投入六個月和一百萬美元來建立一個合法的存在、與團隊面對面會晤並耐心等待，那麼目前的安全模型到底是為了檢測這種行為而設計的嗎？ Drift 現在警告行業應該審核存取合約，並將每個與多重簽名互動的設備都視為潛在目標。根本的問題是，作為 DeFi 主要安全模型的多重簽名，是否足以對抗這樣的高級對手。