我刚刚阅读了Drift关于2.7亿美元漏洞的详细报告，坦率地说令人不安。我们谈论的不是一次常规攻击，而是一场持续了几乎六个月的国家级情报行动。

让我特别关注的是整个事件的发展方式。根据Drift的分析，一个与朝鲜有关的团体在2025年秋季左右以量化交易公司的身份出现在一次重要的加密货币会议上。这不是临时起意的。他们拥有可验证的专业资质，对协议的运作有合法的技术知识，并且知道如何融入DeFi生态系统。

在接下来的几个月里，从2025年12月到1月，该团体在Drift中加入了生态系统保险库，进行了与合作伙伴的工作会话，投入了超过一百万美元的自有资金，并树立了合法参与者的形象。甚至在2月和3月的多次国际会议上与Drift团队面对面会晤。当他们在4月1日实施攻击时，已经几乎花了半年时间在建立这种存在感。

技术渗透手段非常复杂。他们通过两个主要途径入侵设备。首先，分发了一个伪造的TestFlight应用程序，苹果平台上的TestFlight可以绕过App Store的安全审查。其次，利用社区从2025年底开始举报的VSCode和Cursor的已知漏洞。只需在这些编辑器中打开一个文件，就可以执行任意代码而不会发出警告。

一旦进入系统，他们获得了实现多签批准所需的权限。预签名的交易在执行前静静地等待了超过一周，最终在4月1日不到一分钟内，提取了协议存款的2.7亿美元。

调查人员将此次攻击归咎于UNC4736，也被称为AppleJeus或Citrine Sleet，依据链上资金流和与朝鲜相关行动者的重叠操作。虽然在会议上出现的个人并非朝鲜公民，但标准做法是此类威胁行为者会利用完全虚构的身份和背景，经过精心设计以通过尽职调查。

Drift指出的这一点对整个行业来说都令人不安。如果攻击者愿意投入六个月、一百万美元和耐心，在生态系统中建立合法存在，那么现有的安全模型到底能否真正检测到？协议依赖多签作为主要防御手段，但这次行动暴露了在面对资源无限的国家级对手时，这一模型的深层次弱点。

Drift呼吁其他协议审查访问控制措施，并将每个与多签交互的设备都视为潜在目标。这提醒我们，在DeFi中，信任仍然是最有效的攻击向量，即使你试图将其从体系中剔除。