BlockBeats 訊息,4 月 5 日,據官方消息,Drift 表示正在與執法機構、取證合作夥伴及生態團隊合作,全面調查 2026 年 4 月 1 日發生的駭客攻擊事件。目前所有協議功能已被暫停,受影響的錢包已從多簽中移除,攻擊者地址也已在交易平台和跨鏈橋中被標記。安全公司 Mandiant 已介入調查。初步結果顯示,此次攻擊並非短期行為,而是一次持續約 6 個月、具備組織化背景與充足資源支持的情報滲透行動。早在 2025 年秋季,一批自稱量化交易公司的成員便在多個國際加密會議上接觸 Drift 團隊成員,並在此後數月中持續建立關係、展開合作,甚至在平台內投入超 100 萬美元資金以建立可信度。
調查發現,這些成員具備專業背景和技術能力,透過 Telegram 群組與團隊長期溝通交易策略及產品整合,並多次在現場的線下會議中與核心貢獻者會面。在 2026 年 4 月攻擊發生後,相關聊天記錄及惡意軟體被迅速清除。Drift 認為,此次入侵可能透過多個路徑實施,包括誘導團隊成員複製(clone)帶有惡意程式碼的倉庫,或下載偽裝成錢包產品的測試應用。此外,攻擊還可能利用了當時安全社群已警告的 VSCode 與 Cursor 漏洞,在使用者無感知的情況下執行惡意程式碼。
基於鏈上資金流及行為模式分析,安全團隊初步判斷該行動與 2024 年 Radiant Capital 攻擊事件背後的威脅組織有關;該組織被歸因於朝鮮背景駭客團體(如 UNC4736 / AppleJeus)。值得注意的是,線下接觸的成員並非朝鮮籍,而是第三方中間人。Drift 表示,攻擊者構建了完整且可信的身分體系,包括職業履歷與公開背景,以透過長期接觸取得信任。目前調查仍在進行中,團隊呼籲產業加強設備安全審查與權限管理。
