你跑会认识的高净值客户，可能是朝鲜黑客的“雇佣兵”

原文作者：Nicky，Foresight News

近日，Drift Protocol 发布了遭攻击事件的最新调查结果，指出此次行动与 2024 年 10 月 Radiant Capital 黑客事件由同一威胁行为者实施，链上资金流向和操作手法高度吻合。安全公司 Mandiant 曾将 Radiant Capital 攻击归咎于 UNC4736，一个与朝鲜政府有关联的组织。

Drift 攻击事件发生后，黑客已累计持有 130,293 枚 ETH，价值约 2.66 亿美元。事件波及达 20 个协议，其中包括 Prime Numbers Fi、Gauntlet、Elemental DeFi、Project 0 等。其中 Prime Numbers Fi 预估损失超 1000 万美元、Gauntlet 约 640 万美元、Neutral Trade 约 367 万美元、Elemental DeFi 约 290 万美元，Elemental 表示希望能从 Drift 处获得部分赔偿。

Drift 在申明中表示，这起攻击是一场持续六个月的精心策划，2025 年秋季，一群自称量化交易公司的人士在一次大型加密会议上接近 Drift 贡献者。笔者根据时间整理，该时间段内的大型加密会议有 Korea Blockchain Week 2025（2025 年 9 月 22 日至 28 日，举办地为首尔）、TOKEN2049 Singapore（10 月 1 日至 2 日，举办地为新加坡）、Binance Blockchain Week Dubai 2025（10 月 30 日至 31 日，举办地为迪拜）、Solana Breakpoint Dubai（11 月 20 日至 21 日，举办地为迪拜）等。

Drift 官方称，他们技术娴熟，拥有可验证的职业背景，并对 Drift 的运作方式十分熟悉。双方建立了 Telegram 群组，随后数月围绕交易策略和金库集成展开实质性对话。

从 2025 年 12 月到 2026 年 1 月，这群人在 Drift 上正式入驻了一个生态金库，按要求填写了策略细节表格。他们与多位贡献者进行了多次工作讨论，提出详尽的产品问题，并存入超过 100 万美元的自有资金。通过耐心而有序的操作，他们在 Drift 生态内部建立了一个功能完整的业务存在。

整合讨论持续到今年 3 月。Drift 的多位贡献者在多个国际会议上再次与这些人面对面会面。此时双方已建立近半年的合作关系，对方不再是陌生人，而是共同工作过的合作伙伴。期间，对方分享了他们声称正在构建的项目、工具和应用程序的链接，这在交易公司中属于常规做法。

4 月 2 日攻击发生后，调查人员对已知受影响设备、账户和通信记录进行了全面取证审查，与该交易团队的互动成为最可能的入侵路径。攻击发生的同时，对方的 Telegram 聊天记录和恶意软件已被彻底清除。

调查显示，攻击者可能通过三种方式渗透 Drift 贡献者的设备。一名贡献者在克隆了该团队共享的代码仓库后可能被入侵，该仓库被伪装成部署其金库的前端。另一名贡献者被诱导下载了一个 TestFlight 应用，对方声称是其钱包产品。针对代码仓库的渗透路径，安全社区在 2025 年 12 月至 2026 年 2 月期间曾多次警示 VSCode 和 Cursor 存在已知漏洞，仅需在编辑器中打开一个文件、文件夹或仓库，即可静默执行任意代码，无需用户点击或任何提示。受影响硬件的完整取证分析仍在进行中。

此次行动与 2024 年 10 月 Radiant Capital 黑客事件的威胁行为者相同。Mandiant 将 Radiant 攻击归因于 UNC4736，这是一个朝鲜国家支持的组织，也被称为 AppleJeus 或 Citrine Sleet。归因依据来自两个方面：链上资金流显示，用于策划和测试本次操作的资金可追溯至 Radiant 攻击者；操作层面，本次行动中使用的伪装身份与已知的朝鲜关联活动存在可识别的重叠。

Drift 指出，实际出现在线下会议中的个人并非朝鲜籍。这类高级别朝鲜威胁行为者通常会通过第三方中间人进行面对面的关系建立。

UNC4736 是 Mandiant 追踪的一个威胁行为者集群，高置信度评估其隶属于朝鲜侦察总局。该组织自 2018 年起持续针对加密货币和金融科技行业，通过供应链攻击、社会工程学、恶意软件投递等方式窃取数字资产。

其已知的大型攻击事件包括 2023 年 3CX 供应链攻击、2024 年 Radiant Capital 约 5000 万美元被盗，以及本次 Drift 约 2.85 亿美元被盗，根据可统计数据计算该组织共盗取资金约 3.35 亿美元。

该集群被广泛认为是 Lazarus Group 的子集群，专注于财务动机的网络犯罪。Lazarus Group 在 2025 年 2 月曾从 Bybit 盗取约 15 亿美元资产，为加密货币史上最大单次盗窃案。

图源：SotaMedia

Lazarus Group 是朝鲜政府支持的网络威胁行为者集群，隶属侦察总局，旗下包含 UNC4736（即 AppleJeus/Citrine Sleet）、TraderTraitor 等多个子集群。据 Chainalysis 统计，朝鲜黑客通过 Lazarus 等集群累计窃取加密货币约 67.5 亿美元，仅 2025 年就超过 20 亿美元。

该组织制造了多起轰动全球的攻击事件：2014 年索尼影视娱乐遭破坏，2016 年孟加拉国央行被盗 8100 万美元，2017 年 WannaCry 勒索病毒肆虐全球，2022 年 Ronin Bridge 和 Harmony Horizon Bridge 分别失窃 6.2 亿和 1 亿美元，2023 年 Atomic Wallet 和 Stake 相继被攻击。2024 年 10 月，UNC4736 攻击 Radiant Capital 窃取 5000 万美元；2025 年 2 月，TraderTraitor 从 Bybit 盗走创纪录的 15 亿美元；2026 年 4 月，完成对 Drift Protocol 的 2.85 亿美元攻击。

Lazarus 累计推动朝鲜加密窃取金额至 67.5 亿美元。攻击手法从早期破坏转向长期渗透、社会工程、供应链攻击、恶意智能合约 / 多签渗透等。

Drift 声明写道，调查显示第三方定向行动中使用的身份拥有完整的个人和职业履历，包括工作经历、公开资质和专业网络。Drift 贡献者在线下见到的那些人，花费数月构建了能够经受商业合作背景审查的身份档案。

安全研究员 Taylor Monahan 此前表示，朝鲜 IT 工作者至少七年来一直在渗透加密货币公司和 DeFi 项目，超过 40 个 DeFi 平台在不同阶段有过朝鲜 IT 工作者参与。Drift 事件则进一步表明，攻击者已从远程求职渗透演进为线下面对面、历时数月的定向情报行动。

Drift 表示将继续与执法部门、取证合作伙伴及生态团队合作，更多细节将在调查完成后公布。所有剩余协议功能已被冻结，被盗钱包已从多签中移除，攻击者地址已在各交易所和跨链桥运营商处被标记。