我剛剛閱讀了 Drift 發布的有關 2.7 億美元漏洞的詳細報告，坦白說令人不安。這不是一次傳統的攻擊，而是一場持續了幾乎六個月的國家情報行動。

整個過程的發展方式是我最感興趣的地方。根據 Drift 的分析，一個與朝鮮政府有關聯的團體在 2025 年秋季左右，以量化交易公司身份出現在一個重要的加密貨幣會議上。這並非臨時湊合。他們擁有可驗證的專業資格、對協議運作的合法技術知識，並且知道如何完美融入 DeFi 生態系。

在接下來的幾個月中，從 2025 年 12 月到 1 月，該團體在 Drift 中加入了一個生態系統金庫，與合作夥伴進行了多次工作會議，投入超過一百萬美元的自有資金，並逐步建立起合法角色。甚至在 2 月和 3 月的多場國際會議中，與 Drift 團隊面對面會晤。當他們在 4 月 1 日執行攻擊時，已經花了將近半年的時間來建立這個存在。

技術滲透手段相當高明。他們主要通過兩個途徑入侵設備。首先，散布一個假冒的 TestFlight 應用，這是蘋果公司用來避免 App Store 安全審查的平台。其次，利用一個安全社群從 2025 年底就開始報告的已知漏洞，該漏洞存在於 VSCode 和 Cursor 編輯器中。只要打開這些編輯器中的一個文件，就能執行任意代碼而不會提示。

一旦入侵成功，他們獲取了完成兩個多重簽名批准所需的資訊。預先簽名的交易在一週多的時間裡處於待命狀態，直到 4 月 1 日瞬間執行，短短不到一分鐘內就從協議的存款中抽走了 2.7 億美元。

調查人員將這次攻擊歸因於 UNC4736，也被稱為 AppleJeus 或 Citrine Sleet，根據鏈上資金流向和與朝鮮相關行動者的重疊操作來判斷。雖然在會議上出現的個人並非朝鮮公民，但標準做法是，這類高級威脅行動者會利用完全偽造的身份和背景來通過盡職調查。

Drift 指出的問題對整個產業來說都很不舒服。如果攻擊者願意投入六個月、一百萬美元和耐心來建立一個合法的生態系存在，那麼目前的安全模型到底是為了什麼？協議依賴多重簽名作為主要防禦，但這次行動揭示了在面對資源無限的國家級對手時，這個模型存在的深層弱點。

Drift 呼籲其他協議審查存取控制，並將每個與多重簽名互動的設備都視為潛在目標。這提醒我們，在 DeFi 中，信任仍然是最有效的攻擊向量，即使你試圖將其從系統中剔除。