文章总结： 这篇文章详细报道了一起针对去中心化金融平台Drift的2.8亿美元资金盗窃案。黑客通过长达六个月的社会工程攻击得手，而非利用平台程序或智能合约漏洞。攻击者精心构建虚假身份，通过代码仓库陷阱、恶意应用诱导等多种途径渗透，并最终利用预先签名的交易成功转移资产。调查显示，此次攻击与朝鲜有关联，凸显了国家级黑客将间谍手段与网络攻击相结合的复杂性和危险性。 综合评分： 95 文章分类： 网络安全,恶意软件,社会工程学,数据泄露,威胁情报

“就像一部间谍小说”：朝鲜黑客如何用半年时间和假身份骗走2.8亿美元

原创

网空闲话 网空闲话

网空闲话plus

2026年4月11日 08:16 北京

在小说阅读器读本章

去阅读

引子：愚人节的2.8亿美元“玩笑”

2026年4月1日，愚人节。去中心化金融平台Drift的团队没有心情开玩笑——他们发现，平台内2.8亿美元的资金不翼而飞。

这并非一次仓促的攻击，而是一场持续整整六个月的“谍战大片”的最终收网。正如朝鲜网络行动专家迈克尔·巴恩哈特对《记录未来新闻》所言：“这简直就像一部间谍小说。”

第一章：半年前的“钓鱼”

故事要从2025年秋天说起。

在一次大型加密货币会议上，Drift的几名贡献者被一群人搭讪。他们自称是一家量化交易公司，希望与Drift平台进行整合。Drift事后分析报告明确指出：“这是一次有针对性的接触。”在接下来的六个月里，这个群体在多个国家的多个重要行业会议上，刻意寻找并当面接触Drift的特定贡献者。

这群人技术娴熟，对Drift的运作方式了如指掌，而且拥有“可核实的专业背景”——完整的领英档案、过往工作经历、公开资质证书，甚至行业内的专业人脉。

更重要的是，出现在Drift员工面前的，并非朝鲜人。 调查显示，朝鲜政府通过第三国中间人，进行面对面的接触和关系建立。

第二章：精心构建的“完美身份”

Drift在事后分析报告中写道：“调查显示，迄今为止，在此次第三方定向行动中使用的个人资料都完全构建了身份，包括工作经历、公开的资历和专业人脉。”

这些人花了数月时间精心打造经得起商业审查的个人和职业形象。第一次会面后，双方建立了一个Telegram群组。接下来几个月，他们深入讨论交易策略和潜在的金库集成方案——这完全是交易公司与Drift互动的标准流程。

2025年12月到2026年1月，这家“量化交易公司”正式在Drift平台上完成了生态金库的入驻。他们填写了详细说明策略的表格，参与了多次工作会话，提出了专业且深入的产品问题，甚至自掏腰包，向平台投入了超过100万美元的自有资金。

“他们耐心而刻意地在Drift生态系统内部建立了一个功能性的运营存在。”Drift在报告中如此描述。

2026年2月和3月，整合讨论仍在继续。Drift的多位贡献者在多个重要行业会议上，再次与这个群体中的成员面对面交流。此时，双方的关系已经持续了近半年。“这些人并非陌生人，”Drift强调，“他们是Drift的撰稿人曾经共事过并见过面的人。”

在这个过程中，对方不断分享他们声称正在开发的项目、工具和应用程序的链接——这是交易公司的标准做法，却成了渗透的通道。

第三章：致命的两笔签名

2026年3月23日，窃贼开始策划攻击。最终，在4月1日，他们执行了两笔预先签名的交易。

Drift解释说，这次攻击之所以能够成功，是因为“预先签名的交易允许延迟执行”，而他们的审批流程已经被破坏。黑客利用控制权限，取消了预设的提款限额。这是一种“新型攻击”，涉及“迅速接管”该公司安全委员会的管理权力。Drift强调，问题并不出在平台的程序或智能合约漏洞上，而是可以追溯到“在执行之前获得的未经授权或虚假的交易批准”，很可能是通过“复杂的社会工程手段”促成的。

攻击得手后，一个关键细节暴露了真相：这家“交易公司”彻底删除了与Drift的所有Telegram聊天记录，以及他们提供的恶意软件。

第四章：三种渗透路径，一个致命漏洞

Drift的初步调查揭示了三种可能的攻击途径：

第一种：代码仓库陷阱 一名贡献者可能是在克隆了该交易公司共享的代码库后被入侵的。对方以部署金库前端为名，提供了恶意代码。调查人员发现，这可能利用了2025年12月至2026年2月期间安全社区积极标记的一个已知VSCode和Cursor漏洞。其可怕之处在于：只需在编辑器中打开一个文件、文件夹或仓库，就能无声执行任意代码——“无需提示或通知用户，无需点击，无需权限对话框，没有任何形式的警告”。

第二种：TestFlight应用诱导 另一名贡献者被诱导下载了一个对方声称是其钱包产品的TestFlight应用程序，该程序很可能携带了恶意代码。

第三种：内部共谋？ 更令人脊背发凉的是关于人员角色的分析。

迈克尔·巴恩哈特告诉《记录未来新闻》：“根据我们与Drift调查结果密切相关的消息，他们认为三人中有两人并未意识到自己卷入了什么。其中一人很可能是故意将恶意代码植入[Drift]，因为他事后删除了自己的Telegram账户，这表明他清楚自己在做什么，但另外两人似乎是不知情的参与者。”

换句话说，这是一个“幌子加三个替罪羊”的结构——其中一人是核心操盘手，另外两人则是被蒙在鼓里的“工具人”。巴恩哈特将这种手法与2017年金正男遇刺案相提并论：当时两名女子被骗以为自己是在参加恶作剧节目，向金正男脸上喷洒了VX神经毒剂。“我们见过代理人，但从未见过如此极端的代理人，”他说，“因为朝鲜历来都是让代理人替他们干脏活。”

第五章：朝鲜的“影子”与历史轨迹

多家安全公司将这次攻击与朝鲜联系起来。

区块链安全公司Elliptic表示：“已发现多项迹象表明，Drift Protocol漏洞利用与朝鲜民主主义人民共和国有关。此次攻击的链上行为、洗钱方法和网络层面的指标，与之前朝鲜涉嫌进行的犯罪活动中观察到的技术一致。”Elliptic补充说，如果得到证实，“这将是Elliptic今年追踪到的第18起朝鲜犯罪活动，迄今为止，被盗金额已超过3亿美元。”

Drift自己的调查，以 “中高置信度” 评估——这一结论得到了SEALS 911团队调查的支持——认为这次行动与2024年10月Radiant Capital被盗5000万美元的案件是同一批威胁行为者所为。那个案件被Mandiant归因于UNC4736——一个与朝鲜官方有关联的组织，也被追踪为AppleJeus或Citrine Sleet。连接两者的证据既有链上的（用于准备和测试此次操作的资金流向可追溯到Radiant攻击者），也有操作层面的（此次行动中使用的身份与已知的朝鲜相关活动存在可识别的重叠）。需要说明的是，Mandiant尚未正式归因于Drift事件，这需要完成设备取证后才能确定。

这并非朝鲜第一次使用类似手段。

• 2021年，美国司法部和FBI表示，朝鲜至少从2018年起就利用看似合法的加密货币交易平台网站，用AppleJeus恶意软件感染受害者。
• 2022年，谷歌威胁分析小组发布报告，称AppleJeus使用相同的漏洞利用工具包攻击了加密货币和金融科技行业的85多名用户。
• 2023年，针对企业电话公司3CX的供应链攻击也被归咎于同一组织。
• 2024年，微软发现Citrine Sleet正利用零日漏洞攻击Chromium浏览器，目标是加密货币行业。
• 据联合国调查人员称，朝鲜犯罪团伙去年（2025年）从加密货币公司窃取了超过20亿美元，并在2017年至2023年间通过攻击获利30亿美元。美国联邦调查局多次表示，朝鲜将窃取的资金用于资助其弹道武器项目。

而就在Drift事件被曝光的同一天（2026年4月3日），朝鲜黑客还被指卷入另一起破坏性极强的网络安全事件——涉及广受欢迎的前端应用和后端系统库axios的入侵。微软和Crowdstrike证实了谷歌的初步评估，即朝鲜黑客应对此次攻击负责。

第六章：调查进行时与全行业警示

截至报告发布时，Drift的所有协议功能已被冻结，受损钱包已从多重签名中移除。攻击者钱包已在多个交易所和桥接运营商处被标记。Drift正在与执法部门、Mandiant等安全公司合作进行调查。

Drift在报告中感谢了多位专家的帮助：@tayvano_、@tanuki42_、@pcaversaccio 和 @bax1337，感谢他们的专业知识和时间投入。同时，Drift呼吁任何怀疑自己受到同一组织或类似行动攻击的团队，立即联系@SEAL911——他们最有能力对活跃威胁和受损基础设施进行分级处理。

Drift在报告最后向整个行业发出了严厉警告： “请检查你们的团队，审计谁拥有什么权限，并将每一个接触你们多重签名的设备视为潜在目标。”

尾声：间谍小说，而非科幻

这起2.8亿美元的盗窃案，已不仅仅是加密货币世界的又一次黑客事件。它展示了国家级行为体如何将社会工程学、间谍手段和网络攻击融为一体，利用人性中的信任，编织一张长达半年的网。

而最可怕的是——出现在你面前的，可能并不是敌人本人。他们只是被精心设计的“人偶”，而你，可能连敌人在哪里都无从知晓。

正如巴恩哈特所说：“Drift事件的规模之大，着实令人关注……这简直就像一部间谍小说。”

可惜，这不是小说。

（完）

备注：基于Drift加密货币平台完整的事后分析报告和记录报的报道，由Deepseek创作。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：网空闲话plus 网空闲话 网空闲话《“就像一部间谍小说”：朝鲜黑客如何用半年时间和假身份骗走2.8亿美元》