DeFi发展最大的瓶颈

作者：ChainCatcher的Chloe

上周，Solana借贷协议Drift遭到黑客攻击，导致约2.85亿美元的用户资产被盗。根据官方声明，这并不是典型的智能合约漏洞攻击，而是一次由国家支持的黑客精心策划的为期六个月的社会工程学攻击。

甚至有调查证据表明，同一群威胁行为者可能已经渗透到多个去中心化金融协议的核心开发团队中，但他们不是作为攻击者，而是作为贡献者。

朝鲜黑客通常会渗透到早期目标，但很少投资大量资金。

根据关于 Drift 事件的声明，攻击者的核心策略是“成为生态系统的一部分”。

自 2025 年秋季以来，他们伪装成一家量化交易公司，并在加密货币行业的主要会议上开始与 Drift 的核心贡献者接触。这种合作不是一次性的，而是跨越不同国家和会议的多次互动，故意进行了六个月。这些人技术精湛，背景可查，并且非常了解 Drift 的运作方式。

此外，他们的互动并不局限于 Drift 的核心成员。该团队还利用了 Drift 生态系统保险库的开放机制，成功将自己的保险库作为一家合法的交易公司列出，存入超过 100 万美元的资金，参加了多次工作会议，并提出了深入的产品问题，从而与项目团队建立了信任关系。

区块链技术专家 Steven 在接受 ChainCatcher 采访时表示：“朝鲜黑客从一开始就一直在渗透目标，这是常见的做法，但以信任为基础进行大额投资则相对罕见。然而，对于攻击者来说，这100万美元基本上是一项无风险投资；只要他们不发动攻击，这笔钱只是存在于保险库中的正常资金，可以随时提取；而实际操作是由不知情的第三方人员进行的，因此组织本身几乎没有经济损失。”

此外，在与Drift的长期合作期间，该团队以展示其自身开发工具为由，共享了存储在GitHub上的代码项目和应用程序。鉴于当时的背景，合作伙伴之间审查彼此的代码是完全正常的。然而，Drift随后进行的调查显示，一名贡献者复制了一个包含恶意代码的GitHub代码项目，而另一名贡献者被诱导下载了一个伪装成钱包产品的TestFlight应用程序。

代码项目路径之所以难以防范，是因为它完全嵌入在开发人员的日常工作流程中。开发人员通常在编写代码时使用像VSCode或Cursor这样的代码编辑器，可以将其视为工程师的Word，他们每天都会打开和使用。

到2025年底，安全研究社区在这些编辑器中发现了严重的漏洞：当开发人员打开他人共享的代码项目时，项目中隐藏的恶意命令会在后台自动执行，完全隐蔽，屏幕上不会弹出任何确认窗口，不需要点击同意，也不会提供警告。开发人员认为他们只是在“查看代码”，但他们的计算机实际上已经被植入了后门。攻击者利用这个漏洞，在开发人员日常执行的操作中隐藏恶意软件。

在四月 1 日发生 Drift 攻击时，攻击者的 Telegram 聊天记录和所有恶意软件痕迹已被彻底清除，只留下 2.85 亿美元的缺口。

Drift 仅仅是冰山一角吗？

根据加密行业紧急安全响应组织 SEAL 911 的调查，这次攻击是由 2024 年十月 Radiant Capital 黑客事件的同一群威胁行为者发动的。这些联系包括链上资金流动（用于准备和测试这次操作的资金可以追溯到 Radiant 攻击者）和操作模式（这次操作中部署的角色与已知的朝鲜活动有可识别的重叠）。Drift 聘请了著名的安全取证公司 Mandiant（现为谷歌子公司），该公司之前将 Radiant 事件归因于朝鲜国有组织 UNC4736，但 Mandiant 尚未正式将 Drift 事件归因于朝鲜，完整的设备取证仍在进行中。

值得注意的是，亲自参加会议的人并非朝鲜国民。Steven 说：“朝鲜黑客不应被视为典型的黑客组织，而更像是一个情报机构；这是一个拥有数千名人员且角色明确的大型组织。其中，朝鲜黑客 Lazarus 在国际安全领域正式被称为 APT38，而另一个附属组织 Kimsuky 被指定为 APT43。”

这解释了他们为何能够在 线下部署真实人员。他们以各种名义在海外成立公司，招募当地人员，这些人员甚至可能不知道他们为谁工作。“他可能以为自己加入了一个正常的远程工作公司，一年后被派去会见客户；一切看起来都很正常，但背后却是一个黑客组织。执法部门来调查时，这个人什么都不知道。”

现在，Drift 可能只是冰山一角。

如果 Drift 事件揭示了一个单一协议的漏洞，随后的调查指向了一个更大的问题：同样的方法可能已经在整个 DeFi 生态系统中运作多年。

根据区块链研究员 Tayvano 的调查，自 2020 年 DeFi 迅速扩张以来，与朝鲜 IT 工作者相关的代码贡献已传播到多个知名项目，包括 SushiSwap、THORChain、Harmony、Ankr 和 Yearn Finance。

这些人使用的策略与 Drift 事件中的策略惊人地相似：使用伪造的身份，通过自由职业平台和直接联系获得开发角色，进入 Discord 频道、开发者社区，甚至参加开发者会议。一旦进入项目，他们就会贡献代码，参与开发周期，并与团队建立信任，直到他们理解整个协议架构，并等待合适的时机采取行动。

Steven 认为，在传统情报机构中，他们甚至可以潜伏一辈子，下一代会继续上一代未完成的任务。对他们来说，Web3 项目短期回报率高，远程工作的性质使得一个人可以在多个项目中担任多个角色，这在 Web3 行业中很常见，不会引起怀疑。

朝鲜黑客组织将所有 Web3 项目都纳入攻击范围，仔细筛选每个项目，并收集团队成员的信息。他们对项目的了解比项目团队本身还要清楚，”史蒂文说。Web3 成为主要目标的原因是，这个生态系统拥有大量资金，缺乏统一的全球监管，远程工作的普遍性往往使得无法核实合作者和员工的真实身份。此外，从业者普遍年轻且缺乏经验，为朝鲜情报机构提供了理想的渗透环境。

黑客事件司空见惯；项目团队只能坐以待毙吗？

回顾近年来发生的重大事件，社会工程学一直是朝鲜黑客团伙的核心策略。最近，币安创始人CZ的回忆录《币安人生》发布，讲述了2019年5月币安被黑客攻击，损失7000个比特币的事件。根据CZ的说法，黑客首先使用高级恶意软件渗透了几名员工的笔记本电脑，然后在提款过程的最后一步植入恶意命令，于凌晨1点从热钱包盗走了所有7000个比特币（当时价值约4000万美元）。CZ在书中写道，根据攻击方法，黑客已经在币安网络潜伏了一段时间，高度怀疑他们是来自朝鲜的拉撒路组织，甚至可能贿赂了内部员工。

2022年的罗宁网络事件也是一个经典案例。Ronin是流行的区块链游戏《Axie Infinity》背后的侧链，负责处理所有游戏内资产的跨链转移，当时有大量资金被锁仓。攻击的触发是，一名开发人员收到一家知名公司看似高薪的招聘邀请，并在面试过程中下载了一个包含恶意软件的文件，从而使攻击者获得了对内部系统的访问权限，最终盗走了6.25亿美元。

2023年CoinsPaid事件采用了几乎相同的策略。CoinsPaid是一家加密货币支付服务提供商，攻击者同样通过伪造的招聘流程接近员工，诱使他们安装恶意软件，然后渗透到系统中。最近的黑客方法变得更加多样化：伪造的视频通话、受损的社交账户和伪装成会议软件的恶意软件。

受害者收到了看似正常的 Calendly 会议链接，点击后，他们被引导安装了一个假的会议应用程序，这使得恶意软件能够窃取钱包、密码、恢复短语和通信记录。据估计，通过这种方法，朝鲜黑客组织已经窃取了超过 3 亿美元。

同时，被盗资金的最终去向也值得注意。Steven 表示，被盗资金最终落入朝鲜政府的控制之下。该组织内部的一个专门团队进行洗钱活动，该团队通过以下复杂而完整的流程，在多个交易所设置混币器并开设虚假身份账户：资金在被盗后立即通过混币器清洗，然后兑换为隐私币，随后在不同的 DeFi 项目之间转移，在交易所和 DeFi 之间反复循环。

“整个过程在大约30天内完成，最终资金流入东南亚的赌场、无需KYC的小型交易所以及香港和东南亚的场外交易服务提供商，然后被提现。”

那么，面对这种新的威胁模型，其中对手不仅是攻击者，也是参与者，加密货币行业应该如何应对？

Steven认为，管理大量资金的项目团队应该聘请专业的安全团队，在团队内部设立专门的安全职位，并确保所有核心成员严格遵守安全协议。特别重要的是，负责财务签名的开发设备和设备必须严格隔离。他特别提到，Drift事件中的一个关键问题是取消了时间锁缓冲机制，“这种机制永远不应该被取消。”

然而，他也承认，如果朝鲜情报机构真的想要深入渗透，即使进行严格的背景调查也难以完全识别。但引入安全团队仍然至关重要。他建议项目团队引入蓝队（网络攻击和防御中的防守方），因为蓝队不仅可以帮助提高设备和行为的安全性，还可以持续监控关键节点，以便在出现异常波动时立即检测和响应攻击。“仅仅依靠项目团队自身的安全能力不足以抵御这种级别的攻击。”

他补充说，朝鲜的网络战能力在世界上名列前茅，仅次于美国、俄罗斯、中国和以色列。面对这样的对手，仅仅依靠代码审计远远不够。

结论

Drift 事件证明，DeFi 当下面临的最大威胁不仅仅是市场条件或流动性；在安全方面，它不仅仅是防止代码漏洞，因为间谍可能就在你身边。

当攻击者愿意花费六个月的时间并投资数百万美元来培养一种关系时，传统的代码审计和安全防御显然是不够的。此外，根据现有的调查，这套策略可能已经在多个项目中运作多年，只是尚未被发现。

DeFi 是否能够保持去中心化和开放性不再是核心问题；真正的问题是：它能否在保持开放的同时抵御这些包装精良的对手的渗透？