返回首页

朝鲜黑客伪装交易员窃2.85亿美金

朝鲜黑客组织通过长期伪装、社交工程和恶意开发工具,成功入侵Drift协议并盗取2.85亿美元。该事件揭示了数字信任体系的脆弱性,强调验证机制的重要性。

黑客伪装成交易员,悄取2.85亿美金
Advertisement 728x90

朝鲜黑客伪装成友好交易员窃取2.85亿美元

去年秋天,一群自称量化交易公司的代表出现在一场大型加密货币活动中。他们与Drift协议——一个基于Solana区块链的去中心化交易所(DEX)——的开发团队会面,像真正的商业伙伴一样展开对话。他们交换联系方式,加入Telegram群组,甚至向Drift生态系统存入100万美元,以证明自己的可信度。

但这一切都是假象。根据Drift的调查,这些人属于与朝鲜有关联的黑客组织UNC4736。他们的目标不仅是偷钱,更是要彻底融入系统,直到最后一刻才触发警报。

黑客如何真正得手

攻击者并未破解密码或猜测密钥。相反,他们使用了三种隐蔽手段:

Google AdInline article slot
  • 伪造开发工具:他们制作了看似正常的流行编程软件(如VSCode或Cursor)的恶意版本,后台悄悄运行有害代码。
  • 虚假移动应用:他们分发了一个假冒的TestFlight应用——苹果用于测试预发布软件的平台——诱骗用户安装恶意程序。
  • 仿冒代码仓库:开发者无意中从一个外观相似的源码库拉取了代码,其中暗藏后门。

一旦潜入系统,黑客创建了一个名为“生态金库”的特殊账户,专供重要合作伙伴使用,并借此触发了巨额资金转移。在成功盗走2.85亿美元后,他们迅速抹除所有痕迹:Telegram聊天记录消失,恶意软件自我删除,线上身份彻底蒸发。

这不只是针对一个平台的问题

这次攻击符合日益增长的趋势。同一团伙(也被称为AppleJeus或Citrine Sleet)还涉嫌其他重大加密货币劫案,包括2024年的Radiant Capital漏洞事件。安全专家指出,与朝鲜相关的黑客常通过非朝鲜籍中间人进行面对面接触,使追踪更加困难。

更严重的是,这种手法绕过了传统安全机制。即使采用多重签名钱包——需要多人共同批准交易——也在此失效,因为签署人被误导,误以为操作无害。一位专家直言:“问题不在于签名人数多少,而在于他们是否真正理解自己在签什么。”

Google AdInline article slot

对普通人的意义何在?

如果你使用加密应用——哪怕只是通过交易所或钱包间接参与——你同样面临此类威胁。当黑客攻陷开发者依赖的工具时,整个链条下游都处于风险之中。这就像厨师无意中用了毒食材:饭菜看起来正常,实则致命。

你无需恐慌,但必须意识到:数字空间中的信任必须验证,而非默认。如今最安全的系统会在交易执行前模拟过程,清晰展示链上将发生的变化——无论请求多么友好,都需独立核实。

关键启示

  • 朝鲜黑客通过假身份和线下会面,在六个月内渗透Drift协议。
  • 他们利用受信任的开发工具和应用,无声植入恶意代码。
  • 2.85亿美元的盗窃之所以成功,是因为人类被社交工程欺骗,而非单纯技术漏洞。
  • 多重签名安全可能失效,若用户未理解其审批内容。
  • 更深层教训:在加密世界中,眼见未必为实——交易必须独立验证。

— Editorial Team

Google AdInline article slot
Advertisement 728x90

继续阅读

合作伙伴新闻