剛剛閱讀了 Drift 有關那次 $270 百萬漏洞事件的事故報告，說實話，這裡的技術水準相當驚人。這不是隨意的駭客攻擊——我們談的是一個由北韓國家相關團體進行的長達六個月的情報行動，該團體基本上在攻擊前已經滲透到協議內部。

事情的經過是這樣的。大約在2025年秋季，這些行動者以量化交易公司的身份出現在一個主要的加密貨幣會議上。他們擁有技術實力、看似合法的背景，並且真正理解 Drift 的協議。在接下來的幾個月裡，他們經歷了一個看似完全正常的入職流程——建立 Telegram 群組、進行有關交易策略和金庫整合的真實對話、存入超過 $1 百萬的資金，甚至在2025年2月至3月間多次在不同國家的會議上與 Drift 貢獻者面對面會晤。

到他們在4月1日執行漏洞攻擊時，這段關係已經建立了將近六個月。這種耐心是大多數攻擊者所不具備的。

實際的攻擊手法來自兩個巧妙的途徑。首先，他們誘使人們下載一個假冒的錢包應用程式，通過 TestFlight 進行，這樣就繞過了蘋果的安全審查流程。第二，他們利用了一個已知的漏洞，該漏洞在2025年底就已被安全社群警告——基本上，只要打開一個文件，VSCode 和 Cursor 就可能在沒有任何警告的情況下靜默執行任意程式碼。

一旦設備被攻陷，他們就能取得多重簽名的批准權限。預先簽署的交易在閒置超過一週後，於4月1日瞬間執行，短短不到一分鐘內就提走了 $270 百萬。

調查人員追蹤到這與 UNC4736 有關，也被稱為 AppleJeus 或 Citrine Sleet——也是負責 Radiant Capital 攻擊的同一團體。有趣的是，實際出現在會議上的人並非北韓國民。這些行動者會部署完整的第三方身份，擁有經過精心構建的就業歷史和專業網絡，以通過盡職調查。

令人真正不安的是，這個事件對 DeFi 提出了更廣泛的疑問。如果攻擊者願意花六個月、花費百萬美元來建立合法的存在、親自會面、投入真實資金，並等待最佳時機——那麼，什麼樣的安全模型能真正捕捉到這種威脅？Drift 警告其他協議要審查存取控制，並將每一台接觸多重簽名的設備都視為潛在目標。但令人不舒服的事實是，依賴多重簽名治理的行業主流安全模型，在面對如此高階的攻擊時，可能存在深層的結構性弱點。

這種事件讓你重新思考「安全」在大規模運作下的真正意義。