DeFi 發展的最大卡點

作者： Chloe， ChainCatcher

上周 Solana 借貸協議 Drift 遭到駭客攻擊，約 2.85 億美元用戶資產被盜。據官方說明，這不是典型的智能合約漏洞攻擊，而是一場長達六個月、由國家級駭客精心策劃的社會工程攻擊。

甚至有調查證據顯示，同一批威脅行為者可能早已深入多個 DeFi 協議的開發核心，不是以攻擊者的身份，而是以貢獻者的角色。

朝鮮駭客早期潛入目標很常見，但鮮少投入大量現金

根據 Drift 事件聲明，攻擊者的核心策略是「成為生態系統的一部分」。

自 2025 年秋季起，他們偽裝成一家量化交易公司，開始在各大加密行業會議上接觸 Drift 的核心貢獻者。這類接觸不只一次，而是多次跨越不同國家、多場會議，持續半年的有意經營。這些人技術專業、背景可查，對 Drift 的運作方式了如指掌。

且他們不僅限於與 Drift 核心成員交流。該團隊還利用了 Drift 生態金庫（Ecosystem Vault）的開放機制，以合法交易公司的身份順利上架了自己的金庫，存入超過 100 萬美元的自有資金，參與多場工作會議，提出深入的產品問題，進而鞏固與項目方之間的信任。

區塊鏈技術專家 Steven 接受 ChainCatcher 採訪時表示：「朝鮮駭客從早期就開始潛入目標，這是常見做法，但投入大量現金作為信任基礎比較少見。不過對攻擊者而言，這 100 萬美元其實是無風險投資，只要不發動攻擊，這筆錢只是存在金庫里的正常資金，隨時可以取回；而且實際操作的是被招募的不知情的第三方人員，對組織本身幾乎沒有經濟損失。」

此外，在與 Drift 長期合作的過程中，該團隊曾以展示自家開發工具為由，分享了存放在 GitHub 上的代碼項目以及應用程序。以當時的情況來看，合作方之間互相查看彼此的代碼本是再正常不過的事。但 Drift 後續的調查卻發現，一名貢獻者複製的 GitHub 代碼項目中內含惡意代碼，另一名貢獻者則被誘導下載了偽裝成錢包產品的 TestFlight 應用。

代碼項目這條路徑之所以難以防範，在於它完全嵌入了開發者的日常工作流程。開發者日常寫代碼時，幾乎都會使用 VSCode 或 Cursor 這類代碼編輯器，可以把它想成工程師的 Word，每天都要打開使用。

而安全研究社區在 2025 年底就發現這類編輯器存在一項嚴重漏洞：當開發者用它打開別人分享的代碼項目時，項目中暗藏的惡意指令會自動在後台執行，整個過程可以做到完全隱蔽，屏幕上不會彈出任何確認窗口，不需要點擊同意，也沒有任何警告。開發者以為自己只是在「看代碼」，但電腦實際上已經被植入了後門。攻擊者正是利用這個漏洞，把惡意軟體藏進了開發者每天都在做的日常操作中。

直至 4 月 1 日 Drift 攻擊事件發生時，該攻擊者團隊的 Telegram 聊天記錄和所有惡意軟體痕跡已被徹底清除，只留下 2.85 億美元的缺口。

Drift 可能只是冰山一角？

根據加密行業緊急安全響應組織 SEAL 911 的調查，此次攻擊與 2024 年 10 月 Radiant Capital 駭客事件系同一批威脅行為者所為。關聯依據包括鏈上資金流向（用於籌備和測試本次行動的資金可追溯至 Radiant 攻擊者）以及行動模式（本次行動中部署的人設與已知的朝鮮相關活動存在可辨識的重疊）。而 Drift 聘請的知名安全取證公司 Mandiant（現隸屬 Google）此前已將 Radiant 事件歸因於朝鮮國家關聯組織 UNC4736，但 Mandiant 尚未正式對本次 Drift 事件作出歸因，完整的設備取證仍在進行中。

特別的是，親自現身會議的個人並非朝鮮國民。Steven 表示：「不應該把朝鮮駭客看成一般的駭客組織，而應該視為一個情報機構，這是一個擁有數千人、分工明確的龐大組織，其中，朝鮮駭客 Lazarus 在國際安全領域的正式代號為 APT38，朝鮮另一個關聯組織 Kimsuky 的代號則為 APT43。」

這也就解釋了為什麼他們能夠在線下部署真人。他們會以各種名義在海外開設公司，招募當地人員，而這些人甚至完全不知道自己是在為誰工作。「他可能以為自己加入了一家正常的遠程辦公公司，做了一年後被派去見一個客戶，一切看起來都很正常，但背後就是駭客組織。等到司法機關來查的時候，那個人什麼都不知道。」

如今，Drift 可能只是冰山一角。

如果說 Drift 事件揭露的是單一協議的破口，接下來的調查發現則指向一個更大的問題：同樣的手法，可能早已在整個 DeFi 生態中運作多年。

據區塊鏈研究員 Tayvano 的調查指出，自 2020 年 DeFi 快速擴張以來，與朝鮮 IT 工作者有關聯的代碼貢獻已遍布多個知名項目，包括 SushiSwap、THORChain、Harmony、Ankr 與 Yearn Finance。

這些人員的手法與 Drift 事件如出一轍：使用偽造身份，通過自由接單平台和直接聯繫取得開發角色，進入 Discord 頻道、開發者社區甚至參加開發者會議。一旦進入項目內部，他們便貢獻代碼、參與開發周期、與團隊建立信任，直至摸清整個協議架構，伺機而動。

Steven 認為，在傳統情報機構中，他們甚至可以埋伏一輩子，甚至由下一代繼續執行上一代未完成的任務。Web3 項目對他們而言時間短、收益大，而且遠程辦公的特性讓一個人可以同時在多個項目中身兼數職，這在 Web3 行業其實很常見，根本不會引起懷疑。

「朝鮮駭客組織會把所有 Web3 項目都納入攻擊範圍，仔細篩選每一個項目、收集團隊成員的資訊。他們對項目的了解，比項目方本身都要清楚。」Steven 說。而 Web3 之所以成為首要目標，是因為這個生態資金量大、全球缺乏統一監管、遠程辦公普遍導致合作方和員工的真實身份往往無從驗證，加上從業者普遍年輕、社會經驗不足，這些特性恰好為朝鮮情報機構提供了理想的滲透環境。

駭客事件屢見不鮮，項目方只能坐以待斃？

回顧近年重大事件，社會工程始終是朝鮮駭客集團的核心手段。恰逢近日幣安創始人 CZ 回憶錄《幣安人生》上線，書中回顧了 2019 年 5 月幣安被盜 7000 枚比特幣的經過。據 CZ 描述，駭客先是通過高級病毒入侵了數名員工的筆記本電腦，隨後在提幣流程的最後一步植入惡意指令，於凌晨 1 點盜走了熱錢包中全部 7000 枚比特幣（當時價值約 4000 萬美元）。CZ 在書中寫道，從攻擊手法來看，駭客在幣安網路中潛伏了一段時間，並高度懷疑是朝鮮 Lazarus 所為，甚至可能賄賂了內部員工。

2022 年的 Ronin Network 事件也是經典案例。Ronin 是熱門鏈游 Axie Infinity 背後的側鏈，負責處理遊戲內所有資產的跨鏈轉移，當時鎖倉資金規模龐大。攻擊起因是一名開發者收到了一份看似來自知名公司的高薪職位邀請，在面試過程中下載了一份含有惡意程序的文件，攻擊者藉此取得內部系統權限，最終盜走了 6.25 億美元。

2023 年的 CoinsPaid 事件手法也幾乎相同。CoinsPaid 是一家處理加密貨幣支付的服務商，攻擊者同樣通過偽造的招聘流程接近員工，誘導對方安裝惡意軟體後入侵系統。更近期的駭客行動手段則更加多元：偽造的影音通話、被入侵的社交帳戶，以及偽裝成會議軟體的惡意程序。

受害者收到看似正常的 Calendly 會議鏈接，點進去後被引導安裝偽造的會議應用，惡意軟體藉此竊取錢包、密碼、助記詞和通信記錄。據估計，僅通過此類手法，朝鮮駭客集團就已竊取超過 3 億美元。

同時，被盜資金的最終去向也值得關注。Steven 表示，被盜資金最終都會流入朝鮮政府的控制之下。洗錢由組織內專門負責的團隊執行，他們會自己開設混幣器，並在大量交易所用假身份開立帳戶，有一套完整且複雜的流程：資金在被盜的第一時間就會經過混幣器清洗，再兌換成隱私幣，接着通過不同的 DeFi 項目進行跨鏈轉移，在交易所和 DeFi 之間反覆流轉。

「整個過程大約在 30 天內完成，最終資金會落入東南亞的賭場、不需要 KYC 的小型交易所，以及中國香港和東南亞地區的場外交易（OTC）服務商手中，從而被兌現提取。」

那麼，面對這種新型威脅模型，對手不僅是攻擊者，更是參與者，加密行業該如何應對？

Steven 認為，管理大規模資金的項目方應當雇用專業的安全團隊，在團隊內部設置專職安全崗位，而且所有核心成員必須嚴格遵守安全紀律。尤其重要的是，開發設備和負責財務簽名的設備必須做到嚴格的物理隔離。他特別提到，Drift 此次事件中一個關鍵問題是已經取消了時間鎖的緩衝機制，「這個在任何時候都是不能取消的。」

不過他也坦言，如果朝鮮情報機構真的要深度潛伏，即使做嚴格的背景調查也很難完全識別。但引入安全團隊仍然至關重要。他建議項目方引入藍隊（即網路攻防中的防守方團隊），因為藍隊不僅能協助提升設備和行為的安全性，還會持續監控關鍵節點，一旦出現異常波動，可以第一時間發現攻擊並作出反應。「僅靠項目方自己的安全能力，不足以抵抗這種級別的攻擊。」

他還補充，目前朝鮮的網路戰能力在全世界可以排到前五，僅次於美國、俄羅斯、中國和以色列。面對這種級別的對手，單靠代碼審計遠遠不夠。

結語

Drift 事件證明，如今 DeFi 面對的最大威脅不只有行情、不只有流動性，在安全上更不只需要防範代碼漏洞，因為間諜可能就藏匿於身邊。

當攻擊者願意花半年時間、投入百萬美元來經營一段關係，傳統的代碼審計和安全防線根本不夠用。而根據現有調查，這套手法很可能已經在多個項目中運作多年，只是還沒有被發現。

DeFi 能否保持去中心化與開放已不再是核心問題，真正的問題是：它能否在保持開放的同時，抵禦那些經過層層包裝的對手滲透到內部。

來源：金色財經

發佈者對本文章的內容承擔全部責任
在投資加密貨幣前，請務必深入研究，理解相關風險，並謹慎評估自己的風險承受能力。不要因為短期高回報的誘惑而忽視潛在的重大損失。