突发！朝鲜黑客的“雇佣兵”就在你身边，一场精心策划六个月的2.85亿美元猎杀，DeFi安全神话彻底破灭

最近一份公开的调查细节，揭示了加密世界一次教科书级的渗透攻击。Drift Protocol遭遇的2.85亿美元损失，其幕后策划者指向一个名为UNC4736的朝鲜黑客组织。更令人警觉的是，这次攻击并非简单的代码漏洞利用，而是一场持续六个月、融合了线下社交、身份伪造与长期潜伏的定向情报行动。

调查指出，攻击者与去年十月从Radiant Capital盗取约5000万美元的威胁行为者为同一实体。链上资金流向与操作手法的重合度极高。安全公司Mandiant曾将Radiant攻击归因于UNC4736，这是一个与朝鲜政府存在关联的组织。

事件发生后，黑客累计控制了130,293枚$ETH，价值约2.66亿美元。波及范围超过20个协议，其中Prime Numbers Fi预估损失超1000万美元，Gauntlet约640万美元，Neutral Trade约367万美元，Elemental DeFi约290万美元。

攻击的起点并非网络，而是现实世界的会议。去年秋季，一群自称来自量化交易公司的人士，在某个大型加密行业会议上主动接触了Drift的贡献者。他们技术娴熟，拥有可验证的职业背景，并对Drift的运作表现出深刻理解。

双方随后建立了Telegram群组，在数月里围绕交易策略和金库集成进行了实质性对话。从去年12月到今年1月，这群人正式在Drift上入驻了一个生态金库，按要求提交了策略细节，并存入了超过100万美元的自有资金。通过耐心操作，他们在生态内部建立了一个功能完整的业务存在。

整合讨论持续到今年3月。Drift的多位贡献者在多个国际会议上再次与这些人面对面会面。此时，双方已建立近半年的合作关系，攻击者从陌生人变成了共同工作过的伙伴。期间，对方分享了声称正在构建的项目链接，这在业内属于常规做法。

4月2日攻击发生后，调查人员对设备、账户和通信记录进行取证审查，与这个“交易团队”的互动被确定为最可能的入侵路径。攻击发生时，对方的Telegram聊天记录和恶意软件已被彻底清除。

渗透可能通过三种方式实现：一名贡献者在克隆对方共享的、伪装成金库前端的代码仓库后被入侵；另一名贡献者被诱导下载了一个声称是其钱包产品的TestFlight应用。安全社区在去年12月至今年2月期间，曾多次警示VSCode和Cursor编辑器存在已知漏洞，仅需打开文件即可静默执行任意代码。

归因于UNC4736的依据来自两方面：用于策划本次行动的资金可追溯至Radiant攻击者；操作中使用的伪装身份与已知的朝鲜关联活动存在重叠。值得注意的是，实际出现在线下会议中的个人并非朝鲜籍。这类高级别威胁行为者通常会通过第三方中间人进行面对面关系建立。

UNC4736被高置信度评估隶属于朝鲜侦察总局，自2018年起持续针对加密货币行业。其已知的大型攻击包括2023年3CX供应链攻击、2024年Radiant Capital被盗，以及本次Drift事件。该集群被广泛认为是Lazarus Group的子集群，专注于财务动机的网络犯罪。

Lazarus Group在2025年2月曾从Bybit盗取约15亿美元，制造了加密史上最大单次盗窃案。据Chainalysis统计，朝鲜黑客通过Lazarus等集群累计窃取加密货币约67.5亿美元，仅2025年就超过20亿美元。该组织的“战绩”还包括2016年孟加拉国央行被盗8100万美元，2017年WannaCry勒索病毒，以及2022年对Ronin Bridge和Harmony Horizon Bridge的攻击。

安全研究员Taylor Monahan此前表示，朝鲜IT工作者渗透加密货币公司和DeFi项目已至少七年，超过40个DeFi平台在不同阶段有过其参与者。Drift事件表明，攻击模式已从远程求职渗透，演进为线下面对面、历时数月的定向行动。攻击者使用的身份拥有完整的个人和职业履历，能够经受严格的商业背景审查。

Drift方面表示，将继续与执法部门及合作伙伴合作，更多细节将在调查完成后公布。目前所有剩余协议功能已被冻结，被盗钱包已从多签中移除，攻击者地址已在各交易所和跨链桥处被标记。

#Walrus $WAL #Sui #DePIN @Walrus

关注我：获取更多加密市场实时分析与洞察！ $BTC $ETH $SOL

#Gate广场四月发帖挑战 #加密市场回升 #黄金白银走高