DeFi發展最大的瓶頸

By: rootdata|2026/04/08 22:10:01

作者：ChainCatcher的Chloe

上週，Solana借貸協議Drift遭到黑客攻擊，導致約2.85億美元的用戶資產被盜。根據官方聲明，這並不是典型的智能合約漏洞攻擊，而是一次由國家支持的黑客精心策劃的為期六個月的社會工程學攻擊。

甚至有調查證據表明，同一群威脅行為者可能已經滲透到多個去中心化金融協議的核心開發團隊中，但他們不是作為攻擊者，而是作為貢獻者。

朝鮮黑客通常會滲透到早期目標，但很少投資大量資金。

根據關於Drift事件的聲明，攻擊者的核心策略是「成為生態系統的一部分」。

自2025年秋季以來，他們偽裝成一家量化交易公司，並在加密貨幣行業的主要會議上開始與Drift的核心貢獻者接觸。這種合作不是一次性的，而是跨越不同國家和會議的多次互動，故意進行了六個月。這些人技術精湛，背景可查，並且非常了解Drift的運作方式。

此外，他們的互動並不僅限於Drift的核心成員。該團隊還利用了Drift生態系統保險庫的開放機制，成功將自己的保險庫作為一家合法的交易公司列出，存入超過100萬美元的資金，參加了多次工作會議，並提出了深入的產品問題，從而與項目團隊建立了信任關係。

區塊鏈技術專家Steven在接受ChainCatcher訪問時表示：「朝鮮黑客從一開始就一直在滲透目標，這是常見的做法，但以信任為基礎進行大額投資則相對罕見。然而，對於攻擊者來說，這100萬美元基本上是一項無風險投資；只要他們不發動攻擊，這筆錢只是存在於保險庫中的正常資金，可以隨時提取；而實際操作是由不知情的第三方人員進行的，因此組織本身幾乎沒有經濟損失。

此外，在與Drift的長期合作期間，該團隊以展示其自身開發工具為由，共享了存儲在GitHub上的代碼項目和應用程式。鑑於當時的背景，合作夥伴之間審查彼此的代碼是完全正常的。然而，Drift隨後進行的調查顯示，一名貢獻者複製了一個包含惡意代碼的GitHub代碼項目，而另一名貢獻者被誘導下載了一個偽裝成錢包產品的TestFlight應用程式。

代碼項目路徑之所以難以防範，是因為它完全嵌入在開發人員的日常工作流程中。開發人員通常在編寫程式碼時使用像VSCode或Cursor這樣的程式編輯器，可以將其視為工程師的Word，他們每天都會打開和使用。

到2025年底，安全研究社群在這些編輯器中發現了嚴重的漏洞：當開發人員打開他人共享的程式碼專案時，專案中隱藏的惡意命令會在背景自動執行，完全隱蔽，螢幕上不會彈出任何確認視窗，不需要點擊同意，也不會提供警告。開發人員認為他們只是在「查看程式碼」，但他們的電腦實際上已經被植入了後門。攻擊者利用這個漏洞，在開發人員日常執行的操作中隱藏惡意軟體。

在四月1日發生Drift攻擊時，攻擊者的Telegram聊天記錄和所有惡意軟體痕跡已被徹底清除，只留下2.85億美元的缺口。

Drift僅僅是冰山一角嗎？

根據加密行業緊急安全響應組織SEAL 911的調查，這次攻擊是由2024年十月Radiant Capital黑客事件的同一群威脅行為者發動的。這些聯繫包括鏈上資金流動（用於準備和測試這次操作的資金可以追溯到Radiant攻擊者）和操作模式（這次操作中部署的角色與已知的朝鮮活動有可識別的重疊）。Drift聘請了著名的安全取證公司Mandiant（現為谷歌子公司），該公司之前將Radiant事件歸因於朝鮮國有組織UNC4736，但Mandiant尚未正式將Drift事件歸因於朝鮮，完整的設備取證仍在進行中。

值得注意的是，親自參加會議的人並非朝鮮國民。Steven說：「朝鮮黑客不應被視為典型的黑客組織，而更像是一個情報機構；這是一個擁有數千名人員且角色明確的大型組織。其中，朝鮮黑客Lazarus在國際安全領域正式被稱為APT38，而另一個附屬組織Kimsuky被指定為APT43。」

這解釋了他們為何能夠在線下部署真實人員。他們以各種名義在海外成立公司，招募當地人員，這些人員甚至可能不知道他們為誰工作。「他可能以為自己加入了一個正常的遠程工作公司，一年後被派去會見客戶；一切看起來都很正常，但背後卻是一個黑客組織。執法部門來調查時，這個人什麼都不知道。」

現在，Drift可能只是冰山一角。

如果Drift事件揭示了一個單一協議的漏洞，隨後的調查指向了一個更大的問題：同樣的方法可能已經在整個DeFi生態系統中運作多年。

根據區塊鏈研究員Tayvano的調查，自2020年DeFi迅速擴張以來，與朝鮮IT工作者相關的程式碼貢獻已傳播到多個知名專案，包括SushiSwap、THORChain、Harmony、Ankr和Yearn Finance。

這些人使用的策略與 Drift 事件中的策略驚人地相似：使用偽造的身份，通過自由職業平台和直接聯繫獲得開發角色，進入 Discord 頻道、開發者社區，甚至參加開發者會議。一旦進入項目，他們就會貢獻代碼，參與開發週期，並與團隊建立信任，直到他們理解整個協議架構，並等待合適的時機採取行動。

Steven 認為，在傳統情報機構中，他們甚至可以潛伏一輩子，下一代會繼續上一代未完成的任務。對他們來說，Web3 項目短期回報率高，遠程工作的性質使得一個人可以在多個項目中擔任多個角色，這在 Web3 行業中很常見，不會引起懷疑。

朝鮮黑客組織將所有 Web3 項目都納入攻擊範圍，仔細篩選每個項目，並收集團隊成員的信息。他們對項目的了解比項目團隊本身還要清楚，”史蒂文說。Web3 成為主要目標的原因是，這個生態系統擁有大量資金，缺乏統一的全球監管，遠程工作的普遍性往往使得無法核實合作者和員工的真實身份。此外，從業者普遍年輕且缺乏經驗，為朝鮮情報機構提供了理想的滲透環境。

黑客事件司空見慣；項目團隊只能坐以待斃嗎？

回顧近年來發生的重大事件，社會工程學一直是朝鮮黑客團伙的核心策略。最近，幣安創始人 CZ 的回憶錄《幣安人生》發布，講述了2019年5月幣安被黑客攻擊，損失7000個比特幣的事件。根據 CZ 的說法，黑客首先使用高級惡意軟件滲透了幾名員工的筆記本電腦，然後在提款過程的最後一步植入惡意命令，於凌晨1點從熱錢包盜走了所有7000個比特幣（當時價值約4000萬美元）。CZ 在書中寫道，根據攻擊方法，黑客已經在幣安網絡潛伏了一段時間，高度懷疑他們是來自朝鮮的拉撒路組織，甚至可能賄賂了內部員工。

2022年的羅寧網絡事件也是一個經典案例。Ronin 是流行的區塊鏈遊戲《Axie Infinity》背後的側鏈，負責處理所有遊戲內資產的跨鏈轉移，當時有大量資金被鎖倉。攻擊的觸發是，一名開發人員收到一家知名公司看似高薪的招聘邀請，並在面試過程中下載了一個包含惡意軟件的文件，從而使攻擊者獲得了對內部系統的訪問權限，最終盜走了6.25億美元。

2023年 CoinsPaid 事件採用了幾乎相同的策略。CoinsPaid 是一家加密貨幣支付服務提供商，攻擊者同樣通過偽造的招聘流程接近員工，誘使他們安裝惡意軟件，然後滲透到系統中。最近的黑客方法變得更加多樣化：偽造的視頻通話、受損的社交賬戶和偽裝成會議軟件的惡意軟件。

受害者收到了看似正常的 Calendly 會議連結，點擊後，他們被引導安裝了一個假的會議應用程式，這使得惡意軟體能夠竊取錢包、密碼、恢復短語和通訊記錄。據估計，透過這種方法，朝鮮黑客組織已經竊取了超過 3 億美元。

同時，被盜資金的最終去向也值得注意。Steven 表示，被盜資金最終落入朝鮮政府的控制之下。該組織內部的一個專門團隊進行洗錢活動，該團隊透過以下複雜而完整的流程，在多個交易所設置混幣器並開設虛假身份帳戶：資金在被盜後立即透過混幣器清洗，然後兌換為隱私幣，隨後在不同的 DeFi 項目之間轉移，在交易所和 DeFi 之間反覆循環。

“整個過程在大約 30 天內完成，最終資金流入東南亞的賭場、無需 KYC 的小型交易所以及香港和東南亞的場外交易服務提供商，然後被提現。”

那麼，面對這種新的威脅模型，其中對手不僅是攻擊者，也是參與者，加密貨幣行業應該如何應對？

Steven 認為，管理大量資金的項目團隊應該聘請專業的安全團隊，在團隊內部設立專門的安全職位，並確保所有核心成員嚴格遵守安全協議。特別重要的是，負責財務簽名的開發設備和設備必須嚴格隔離。他特別提到，Drift 事件中的一個關鍵問題是取消了時間鎖緩衝機制，“這種機制永遠不應該被取消。”

然而，他也承認，如果朝鮮情報機構真的想要深入滲透，即使進行嚴格的背景調查也難以完全識別。但引入安全團隊仍然至關重要。他建議項目團隊引入藍隊（網路攻擊和防禦中的防守方），因為藍隊不僅可以幫助提高設備和行為的安全性，還可以持續監控關鍵節點，以便在出現異常波動時立即檢測和響應攻擊。“僅僅依靠項目團隊自身的安全能力不足以抵禦這種級別的攻擊。”

他補充說，朝鮮的網路戰能力在世界上名列前茅，僅次於美國、俄羅斯、中國和以色列。面對這樣的對手，僅僅依靠代碼審計遠遠不夠。