漂移协议（Drift Protocol）表示，其平台在4月1日遭受的攻击是经过数月策划和社会工程手段后实施的

摘要

• 漂移表示，攻击者在使用恶意工具入侵贡献者设备之前，先花了六个月建立信任。
• 该交易所将这一漏洞与中等至较高置信度下，关联到与Radiant Capital在2024年10月黑客攻击背后的团体。
• 漂移表示，持续的线下加密活动面对面接触帮助攻击者了解贡献者，并获得访问权限。

这家去中心化交易所将此案关联到一个在向贡献者发送恶意工具和链接之前，花时间与贡献者建立信任的团体。外部估算称，损失约为280 million美元。

漂移协议表示，其初步审查发现针对该平台存在一场漫长且有组织的行动。团队表示，在行动期间，攻击者展示了“组织支持、资源以及数月的刻意准备”。

该交易所表示，相关接触大约始于2025年10月。根据漂移的说法，冒充某家量化交易公司成员的人士在一场主要加密会议上接触了贡献者，并声称他们希望与该协议进行整合。

线下会面随时间建立了信任

漂移表示，该团体在接下来的六个月里于多个行业活动中持续与贡献者会面。团队表示，参与其中的人具备技术能力，了解漂移的运作方式，并且看起来拥有真实的专业背景。

这种稳定的联系帮助该团体赢得了信任。漂移表示，攻击者随后使用与贡献者共享的恶意链接和工具来破坏设备、实施漏洞利用，并在入侵后清除其活动痕迹。

此外，漂移表示其“中等至较高置信度”认为，实施本次漏洞利用的同一批行为者是2024年10月Radiant Capital黑客攻击背后的团体。此前那次攻击导致约5800万美元的损失，并且同样使用了恶意软件来获取对内部系统的访问权限。

Radiant Capital在2024年12月表示，一名与朝鲜相关的黑客冒充前承包商，并通过Telegram投递恶意软件。Radiant表示“这个ZIP文件”随后在开发者之间传播以获取反馈，并为入侵打开了通路。

漂移警告：会议可能成为攻击目标

漂移表示，与贡献者线下会面的人“并非朝鲜国民”。与此同时，团队表示，与DPRK有关联的威胁行为者经常使用第三方中介来进行面对面接触和建立关系。

该交易所表示，目前正与执法部门以及其他加密行业参与者合作，建立对4月1日攻击的完整记录

该案也为加密公司带来了新的警示，因为会议和线下会面可能让威胁团体获得机会：研究团队、建立信任，并为后续攻击做准备。