DeFi安全危机：朝鲜黑客渗透成最大威胁

作者：Chloe，ChainCatcher

上周，Solana借贷协议Drift遭到黑客攻击，约2.85亿美元用户资产被盗。据官方说明，这不是典型的智能合约漏洞攻击，而是一场长达六个月、由国家级黑客精心策划的社会工程攻击。

甚至有调查证据显示，同一批威胁行为者可能早已深入多个DeFi协议的开发核心，不是以攻击者的身份，而是以贡献者的角色。

朝鲜黑客早期潜入目标很常见，但鲜少投入大量现金

根据Drift事件声明，攻击者的核心策略是“成为生态系统的一部分”。

自2025年秋季起，他们伪装成一家量化交易公司，开始在各大加密行业会议上接触Drift的核心贡献者。这类接触不只一次，而是多次跨越不同国家、多场会议，持续半年的有意经营。这些人技术专业、背景可查，对Drift的运作方式了如指掌。

且他们不仅限于与Drift核心成员交流。该团队还利用了Drift生态金库（Ecosystem Vault）的开放机制，以合法交易公司的身份顺利上架了自己的金库，存入超过100万美元的自有资金，参与多场工作会议，提出深入的产品问题，进而巩固与项目方之间的信任。

区块链技术专家Steven接受ChainCatcher采访时表示：“朝鲜黑客从早期就开始潜入目标，这是常见做法，但投入大量现金作为信任基础比较少见。不过对攻击者而言，这100万美元其实是无风险投资，只要不发动攻击，这笔钱只是存在金库里的正常资金，随时可以取回；而且实际操作的是被招募的不知情的第三方人员，对组织本身几乎没有经济损失。”

此外，在与Drift长期合作的过程中，该团队曾以展示自家开发工具为由，分享了存放在GitHub上的代码项目以及应用程序。以当时的情况来看，合作方之间互相查看彼此的代码本是再正常不过的事。但Drift后续的调查却发现，一名贡献者复制的GitHub代码项目中内含恶意代码，另一名贡献者则被诱导下载了伪装成钱包产品的TestFlight应用。

代码项目这条路径之所以难以防范，在于它完全嵌入了开发者的日常工作流程。开发者日常写代码时，几乎都会使用VSCode或Cursor这类代码编辑器，可以把它想成工程师的Word，每天都要打开使用。

而安全研究社区在2025年底就发现这类编辑器存在一项严重漏洞：当开发者用它打开别人分享的代码项目时，项目中暗藏的恶意指令会自动在后台执行，整个过程可以做到完全隐蔽，屏幕上不会弹出任何确认窗口，不需要点击同意，也没有任何警告。开发者以为自己只是在“看代码”，但电脑实际上已经被植入了后门。攻击者正是利用这个漏洞，把恶意软件藏进了开发者每天都在做的日常操作中。

直至4月1日Drift攻击事件发生时，该攻击者团队的Telegram聊天记录和所有恶意软件痕迹已被彻底清除，只留下2.85亿美元的缺口。

Drift可能只是冰山一角？

根据加密行业紧急安全响应组织SEAL 911的调查，此次攻击与2024年10月Radiant Capital黑客事件系同一批威胁行为者所为。关联依据包括链上资金流向（用于筹备和测试本次行动的资金可追溯至Radiant攻击者）以及行动模式（本次行动中部署的人设与已知的朝鲜相关活动存在可辨识的重叠）。而Drift聘请的知名安全取证公司Mandiant（现隶属Google）此前已将Radiant事件归因于朝鲜国家关联组织UNC4736，但Mandiant尚未正式对本次Drift事件作出归因，完整的设备取证仍在进行中。

特别的是，亲自现身会议的个人并非朝鲜国民。Steven表示：“不应该把朝鲜黑客看成一般的黑客组织，而应该视为一个情报机构，这是一个拥有数千人、分工明确的庞大组织，其中，朝鲜黑客Lazarus在国际安全领域的正式代号为APT38，朝鲜另一个关联组织Kimsuky的代号则为APT43。”

这也就解释了为什么他们能够在线下部署真人。他们会以各种名义在海外开设公司，招募当地人员，而这些人甚至完全不知道自己是在为谁工作。“他可能以为自己加入了一家正常的远程办公公司，做了一年后被派去见一个客户，一切看起来都很正常，但背后就是黑客组织。等到司法机关来查的时候，那个人什么都不知道。”

如今，Drift可能只是冰山一角。

如果说Drift事件揭露的是单一协议的破口，接下来的调查发现则指向一个更大的问题：同样的手法，可能早已在整个DeFi生态中运作多年。

据区块链研究员Tayvano的调查指出，自2020年DeFi快速扩张以来，与朝鲜IT工作者有关联的代码贡献已遍布多个知名项目，包括SushiSwap、THORChain、Harmony、Ankr与Yearn Finance。

这些人员的手法与Drift事件如出一辙：使用伪造身份，通过自由接单平台和直接联系取得开发角色，进入Discord频道、开发者社区甚至参加开发者会议。一旦进入项目内部，他们便贡献代码、参与开发周期、与团队建立信任，直至摸清整个协议架构，伺机而动。

Steven认为，在传统情报机构中，他们甚至可以埋伏一辈子，甚至由下一代继续执行上一代未完成的任务。Web3项目对他们而言时间短、收益大，而且远程办公的特性让一个人可以同时在多个项目中身兼数职，这在Web3行业其实很常见，根本不会引起怀疑。

“朝鲜黑客组织会把所有Web3项目都纳入攻击范围，仔细筛选每一个项目、收集团队成员的信息。他们对项目的了解，比项目方本身都要清楚。”Steven说。而Web3之所以成为首要目标，是因为这个生态资金量大、全球缺乏统一监管、远程办公普遍导致合作方和员工的真实身份往往无从验证，加上从业者普遍年轻、社会经验不足，这些特性恰好为朝鲜情报机构提供了理想的渗透环境。

黑客事件屡见不鲜，项目方只能坐以待毙？

回顾近年重大事件，社会工程始终是朝鲜黑客集团的核心手段。恰逢近日币安创始人CZ回忆录《币安人生》上线，书中回顾了2019年5月币安被盗7000枚比特币的经过。据CZ描述，黑客先是通过高级病毒入侵了数名员工的笔记本电脑，随后在提币流程的最后一步植入恶意指令，于凌晨1点盗走了热钱包中全部7000枚比特币（当时价值约4000万美元）。CZ在书中写道，从攻击手法来看，黑客在币安网络中潜伏了一段时间，并高度怀疑是朝鲜Lazarus所为，甚至可能贿赂了内部员工。

2022年的Ronin Network事件也是经典案例。Ronin是热门链游Axie Infinity背后的侧链，负责处理游戏内所有资产的跨链转移，当时锁仓资金规模庞大。攻击起因是一名开发者收到了一份看似来自知名公司的高薪职位邀请，在面试过程中下载了一份含有恶意程序的文件，攻击者借此取得内部系统权限，最终盗走了6.25亿美元。

2023年的CoinsPaid事件手法也几乎相同。CoinsPaid是一家处理加密货币支付的服务商，攻击者同样通过伪造的招聘流程接近员工，诱导对方安装恶意软件后入侵系统。更近期的黑客行动手段则更加多元：伪造的视频通话、被入侵的社交账户，以及伪装成会议软件的恶意程序。

受害者收到看似正常的Calendly会议链接，点进去后被引导安装伪造的会议应用，恶意软件借此窃取钱包、密码、助记词和通信记录。据估计，仅通过此类手法，朝鲜黑客集团就已窃取超过3亿美元。

同时，被盗资金的最终去向也值得关注。Steven表示，被盗资金最终都会流入朝鲜政府的控制之下。洗钱由组织内专门负责的团队执行，他们会自己开设混币器，并在大量交易所用假身份开立账户，有一套完整且复杂的流程：资金在被盗的第一时间就会经过混币器清洗，再兑换成隐私币，接着通过不同的DeFi项目进行跨链转移，在交易所和DeFi之间反复流转。

“整个过程大约在30天内完成，最终资金会落入东南亚的赌场、不需要KYC的小型交易所，以及中国香港和东南亚地区的场外交易（OTC）服务商手中，从而被兑现提取。”

那么，面对这种新型威胁模型，对手不仅是攻击者，更是参与者，加密行业该如何应对？

Steven认为，管理大规模资金的项目方应当雇用专业的安全团队，在团队内部设置专职安全岗位，而且所有核心成员必须严格遵守安全纪律。尤其重要的是，开发设备和负责财务签名的设备必须做到严格的物理隔离。他特别提到，Drift此次事件中一个关键问题是已经取消了时间锁的缓冲机制，“这个在任何时候都是不能取消的。”

不过他也坦言，如果朝鲜情报机构真的要深度潜伏，即使做严格的背景调查也很难完全识别。但引入安全团队仍然至关重要。他建议项目方引入蓝队（即网络攻防中的防守方团队），因为蓝队不仅能协助提升设备和行为的安全性，还会持续监控关键节点，一旦出现异常波动，可以第一时间发现攻击并作出反应。“仅靠项目方自己的安全能力，不足以抵抗这种级别的攻击。”

他还补充，目前朝鲜的网络战能力在全世界可以排到前五，仅次于美国、俄罗斯、中国和以色列。面对这种级别的对手，单靠代码审计远远不够。

结语

Drift事件证明，如今DeFi面对的最大威胁不只有行情、不只有流动性，在安全上更不只需要防范代码漏洞，因为间谍可能就藏匿于身边。

当攻击者愿意花半年时间、投入百万美元来经营一段关系，传统的代码审计和安全防线根本不够用。而根据现有调查，这套手法很可能已经在多个项目中运作多年，只是还没有被发现。

DeFi能否保持去中心化与开放已不再是核心问题，真正的问题是：它能否在保持开放的同时，抵御那些经过层层包装的对手渗透到内部。